Botnet RUBYCARP attribuita all'attore minaccioso rumeno

È stato osservato che un gruppo di minacce informatiche sospettato di essere di origine rumena, noto come RUBYCARP, gestisce una botnet persistente impegnata in varie attività illecite tra cui mining di criptovalute, attacchi DDoS (Distributed Denial of Service) e schemi di phishing.

Questo gruppo, che si ritiene sia attivo da almeno un decennio, utilizza la botnet principalmente a scopo di lucro, come riportato da Sysdig e condiviso con The Hacker News. Il loro modus operandi prevede l'implementazione di una botnet attraverso una serie di exploit pubblici e tattiche di forza bruta e la comunicazione attraverso reti IRC sia pubbliche che private.

Le prove suggeriscono che RUBYCARP potrebbe sovrapporsi a un’altra entità di minaccia monitorata dalla società di sicurezza informatica albanese Alphatechs, identificata come Outlaw. Outlaw ha una storia di coinvolgimento nel mining di criptovalute e negli attacchi di forza bruta, ma recentemente ha spostato l'attenzione verso campagne di phishing e spear-phishing.

RUBYCARP si concentra sul phishing come vettore di attacco iniziale

Secondo il ricercatore di sicurezza Brenton Isufi, questi tentativi di phishing mirano a indurre le vittime a rivelare informazioni sensibili come credenziali di accesso o dati finanziari.

Un aspetto degno di nota dei metodi di RUBYCARP è l'uso del malware ShellBot (noto anche come PerlBot) per infiltrarsi negli ambienti di destinazione. Sfruttano anche le vulnerabilità del Laravel Framework, una tattica condivisa con altri autori di minacce come AndroxGh0st.

Per espandere la portata della propria botnet, è stato osservato che RUBYCARP compromette i siti WordPress utilizzando combinazioni comuni di nome utente e password. Una volta ottenuto l'accesso, installano una backdoor basata sul popolare Perl ShellBot, collegando il server della vittima a un server Internet Relay Chat (IRC) che funge da comando e controllo.

La botnet, che si stima includa oltre 600 host, fa molto affidamento su IRC per la comunicazione e il coordinamento delle campagne di crypto mining. Inoltre, i membri del gruppo comunicano attraverso un canale IRC Undernet chiamato #cristi e utilizzano uno strumento di scansione di massa per identificare potenziali nuovi host.

L'emergere di RUBYCARP nel panorama delle minacce informatiche sottolinea la loro abilità nello sfruttare la botnet per varie attività illegali, tra cui operazioni di crypto mining e phishing volte a rubare informazioni sensibili come i numeri di carte di credito.