400.000 Linux-Server waren Teil des Ebury-Botnet

B2B Cyber Security ShortNews

Beitrag teilen

Einem neuen Forschungsbericht hat IT-Sicherheitshersteller ESET veröffentlicht, der das schädliche Treiben der Hacker-Gruppe „Ebury“ enthüllt. Sie infizierte mit ihrer Malware mehr als 400.000 Linux-, FreeBSD- und OpenBSD-Server im Laufe der vergangenen 15 Jahre.

Allein in den vergangenen 18 Monaten kamen 100.000 neue betroffene hinzu. In vielen Fällen konnten die Ebury-Betreiber vollen Zugriff auf große Server von Internetprovidern und bekannten Hosting-Anbietern erlangen. Zu den Aktivitäten der Ebury-Gruppe und ihres Botnets gehörten im Laufe der Jahre die Verbreitung von Spam, Umleitungen von Web-Traffic und der Diebstahl von Anmeldedaten. In den letzten Jahren sind die Hacker darüber hinaus auch in Kreditkarten- und Krypto-Währungsdiebstähle eingestiegen.

Anzeige

Ebury ist vielseitig einsetzbar

Seit mindestens 2009 dient Ebury als OpenSSH-Hintertür und zum Diebstahl von Anmeldedaten. Sie wird verwendet, um zusätzliche Malware zu installieren, um das Botnet zu monetarisieren (z. B. Module für die Umleitung des Web-Traffics), den Datenverkehr für Spam zu projizieren, Adversary-in-the-Middle-Angriffe (AitM) durchzuführen und unterstützende bösartige Infrastruktur zu hosten. Bei AitM-Angriffen hat ESET zwischen Februar 2022 und Mai 2023 über 200 Ziele in mehr als 75 Netzwerken in 34 verschiedenen Ländern identifiziert.

Perfide Vorgehensweise

Nachdem ein System kompromittiert wurde, exfiltriert die Malware eine Reihe von Daten. Die dabei erbeuteten Kennwörter und Schlüssel werden wiederverwendet, um sich bei verwandten Systemen anzumelden. Jede neue Hauptversion von Ebury bringt einige wichtige Änderungen sowie neue Funktionen und Verschleierungstechniken mit sich.

„Wir haben Fälle dokumentiert, in denen die Infrastruktur von Hosting-Anbietern durch Ebury kompromittiert wurde. Hierbei wurde Ebury auf Servern eingesetzt, die von diesen Anbietern vermietet wurden, ohne dass die Mieter gewarnt wurden. Dies führte dazu, dass die Kriminellen in der Lage waren, Tausende von Servern auf einmal zu kompromittieren“, sagt ESET Forscher Marc-Etienne M. Léveillé, der Ebury mehr als ein Jahrzehnt lang untersucht hat.

Die Hackergruppe kennt keine geografischen Grenzen; es gibt in fast allen Ländern der Welt mit Ebury kompromittierte Server. Jedes Mal, wenn ein Hosting-Anbieter infiziert wurde, führte dies zu einer großen Anzahl weiterer betroffener Server in denselben Rechenzentren. Gleichzeitig scheinen keine Branchen gezielter angegriffen zu werden als andere.

Namhafte Opfer weltweit

Zu den Opfern gehören Universitäten, kleine und große Unternehmen, Internetprovider, Krypto-Händler, Tor-Exit-Nodes, Shared-Hosting-Anbieter und Dedicated-Server-Provider. Ende 2019 wurde die Infrastruktur eines großen und populären US-basierten Domain-Registrars und Web-Hosting-Anbieters kompromittiert. Insgesamt wurden etwa 2.500 physische und 60.000 virtuelle Server von den Angreifern kompromittiert. Ein sehr großer Teil, wenn nicht alle dieser Server, wird zwischen mehreren Nutzern für die Websites von mehr als 1,5 Millionen Konten gemeinsam genutzt. Bei einem anderen Vorfall wurden insgesamt 70.000 Server dieses Hosting-Anbieters 2023 durch Ebury kompromittiert. Auch Kernel.org, der Host für den Quellcode des Linux-Kernels, war ein Opfer.

Direkt zum PDF-Whitepaper bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Bedrohungserkennung mit Sigma-Regeln

Open-Source-Projekte sind unverzichtbar für die Weiterentwicklung der Softwarelandschaft. Sie ermöglichen es einer globalen Community von Entwicklern und Cybersicherheitsexperten, Wissen auszutauschen, ➡ Weiterlesen

BSI: Brute-Force-Angriffe gegen Citrix Netscaler Gateways

Aktuell werden dem BSI verstärkt Brute-Force-Angriffe gegen Citrix Netscaler Gateways aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern gemeldet. Die aktuellen ➡ Weiterlesen

Mutmaßliche Spionagekampagne mit Malware namens Voldemort

Cybersecurity-Experten konnten eine großangelegte Malware-Kampagne namens Voldemort identifizieren. Die Malware, die dabei zum Einsatz kommt, wurde dabei über Phishing-E-Mails verbreitet. ➡ Weiterlesen

Cyberangriffe kosten im Schnitt 1 Million US-Dollar

Cyberangriffe kosten Unternehmen in Deutschland fast genauso viel wie ihre jährlichen Investitionen in Cybersicherheit. Insgesamt beträgt  das durchschnittliche IT-Budget 5,9 ➡ Weiterlesen

Brillen.de meldet Datenleck mit Kundendaten

Der Anbieter Brillen.de musste seinen Kunden ein Datenleck mitteilen. So soll für eine kurze Zeit ein externer Zugriff auf Kundendaten ➡ Weiterlesen