Un gruppo di botnet rumeno noto come “RUBYCARP” sta sfruttando vulnerabilità conosciute e attacchi brute force per violare le reti aziendali e compromettere i server a scopo di lucro. Secondo un recente rapporto di Sysdig, RUBYCARP gestisce attualmente un botnet controllato tramite canali IRC privati, comprendente oltre 600 server compromessi.
Attacchi mirati e Metodi di Compromissione
Sysdig ha rilevato che RUBYCARP ha preso di mira applicazioni Laravel attraverso la vulnerabilità di esecuzione remota di codice CVE-2021-3129 e ha osservato tentativi di brute-forcing su server SSH e attacchi a siti WordPress utilizzando dump di credenziali. Una volta installato il payload shellbot su un server compromesso, questo si connette al server di comando e controllo (C2) basato su IRC, diventando parte del botnet.
Distribuzione dei carichi di lavoro tra le Botnet
I ricercatori hanno scoperto tre distinti cluster di botnet, denominati “Juice”, “Cartier” e “Aridan”, presumibilmente utilizzati per scopi differenti. La frequente rotazione dell’infrastruttura da parte degli attaccanti mira a eludere il rilevamento e i blocchi, complicando gli sforzi di analisi e neutralizzazione.
Utilizzo dei Server Compromessi
I dispositivi infettati possono essere impiegati per lanciare attacchi DDoS, frodi finanziarie, phishing e per il mining di criptovalute, sfruttando le risorse computazionali delle vittime. RUBYCARP utilizza strumenti di mining come NanoMiner, XMrig e un miner personalizzato chiamato C2Bash per minare criptovalute quali Monero, Ethereum e Ravencoin.
Inoltre, il gruppo utilizza tecniche di phishing per rubare informazioni finanziarie, distribuendo template di phishing su server compromessi o inviando email phishing, con un focus apparente sulle vittime europee, come indicato dalle recenti campagne mirate a entità quali la Swiss Bank, Nets Bank e Bring Logistics.
Sicurezza e precauzioni
Nonostante RUBYCARP non sia tra i maggiori operatori di botnet, la sua capacità di operare in gran parte non rilevata per oltre un decennio dimostra un elevato livello di furtività e sicurezza operativa. La loro attività sottolinea l’importanza per le organizzazioni di mantenere aggiornati i sistemi, applicare patch di sicurezza in modo tempestivo e adottare misure proattive di sicurezza informatica per proteggersi da minacce simili.
