RUBYCARP botnetas priskiriamas Rumunijos grėsmių veikėjui
Buvo pastebėta, kad kibernetinių grėsmių grupė, kuri, kaip įtariama, yra rumunų kilmės, žinoma kaip RUBYCARP, nuolat valdo robotų tinklą, užsiimdama įvairia neteisėta veikla, įskaitant kriptovaliutų gavybą, paskirstytas paslaugų atsisakymo (DDoS) atakas ir sukčiavimo schemas.
Ši grupė, kuri, kaip manoma, veikė mažiausiai dešimtmetį, naudoja botnetą pirmiausia siekdama finansinės naudos, kaip pranešė Sysdig ir pasidalino su The Hacker News. Jų veikimo būdas apima botneto diegimą naudojant įvairius viešuosius išnaudojimus ir brutalios jėgos taktiką bei bendravimą tiek viešaisiais, tiek privačiais IRC tinklais.
Įrodymai rodo, kad RUBYCARP gali sutapti su kitu grėsmės subjektu, kurį seka Albanijos kibernetinio saugumo įmonė Alphatechs, identifikuojama kaip Outlaw. „Outlaw“ jau seniai užsiėmė kriptovaliutų gavyba ir žiaurios jėgos atakomis, tačiau pastaruoju metu daugiau dėmesio skyrė sukčiavimo ir sukčiavimo kampanijoms.
RUBYCARP daugiausia dėmesio skiria sukčiavimui kaip pradiniam atakos vektoriui
Šiomis sukčiavimo pastangomis siekiama apgauti aukas, kad jos atskleistų slaptą informaciją, pvz., prisijungimo duomenis ar finansinius duomenis, teigia saugumo tyrinėtojas Brenton Isufi.
Vienas dėmesio vertas RUBYCARP metodų aspektas yra „ShellBot“ (taip pat žinomos kaip „PerlBot“) kenkėjiškos programos, skirtos įsiskverbti į tikslines aplinkas. Jie taip pat išnaudoja „Laravel Framework“ pažeidžiamumą – tokia taktika dalijasi su kitais grėsmės veikėjais, tokiais kaip AndroxGh0st.
Pastebėta, kad RUBYCARP, siekdama išplėsti savo botneto pasiekiamumą, pažeidžia „WordPress“ svetaines naudodama įprastus vartotojo vardo ir slaptažodžio derinius. Gavę prieigą, jie įdiegia užpakalines duris, pagrįstą populiariu Perl ShellBot, jungiančią aukos serverį su interneto perdavimo pokalbių (IRC) serveriu, veikiančiu kaip komandų ir valdymo funkcija.
Manoma, kad robotų tinklas, kurį sudaro daugiau nei 600 prieglobų, labai priklauso nuo IRC ryšiui ir kriptovaliutų gavybos kampanijų koordinavimui. Be to, grupės nariai bendrauja per Undernet IRC kanalą, pavadintą #cristi, ir naudoja masinio skaitytuvo įrankį potencialiems naujiems šeimininkams nustatyti.
RUBYCARP atsiradimas kibernetinių grėsmių aplinkoje rodo, kad jie sugeba botnetą panaudoti įvairiai neteisėtai veiklai, įskaitant kriptovaliutų gavybą ir sukčiavimo operacijas, kuriomis siekiama pavogti neskelbtiną informaciją, pvz., kredito kortelių numerius.