Botnet RUBYCARP atribuído ao ator romeno de ameaças
Um grupo de ameaças cibernéticas suspeito de ser de origem romena, conhecido como RUBYCARP, foi observado operando uma botnet persistente para se envolver em diversas atividades ilícitas, incluindo mineração de criptografia, ataques distribuídos de negação de serviço (DDoS) e esquemas de phishing.
Este grupo, que se acredita estar ativo há pelo menos uma década, utiliza a botnet principalmente para obter ganhos financeiros, conforme relatado pela Sysdig e compartilhado com o The Hacker News. O seu modus operandi envolve a implantação de uma botnet através de uma série de explorações públicas e táticas de força bruta e a comunicação através de redes de IRC públicas e privadas.
As evidências sugerem que RUBYCARP pode se sobrepor a outra entidade de ameaça rastreada pela empresa albanesa de segurança cibernética Alphatechs, identificada como Outlaw. Outlaw tem um histórico de envolvimento em mineração de criptografia e ataques de força bruta, mas recentemente mudou o foco para campanhas de phishing e spear-phishing.
RUBYCARP concentra-se no phishing como vetor de ataque inicial
Esses esforços de phishing visam enganar as vítimas para que revelem informações confidenciais, como credenciais de login ou dados financeiros, de acordo com o pesquisador de segurança Brenton Isufi.
Um aspecto digno de nota dos métodos do RUBYCARP é o uso do malware ShellBot (também conhecido como PerlBot) para se infiltrar nos ambientes alvo. Eles também exploram vulnerabilidades no Laravel Framework, uma tática compartilhada com outros atores de ameaças como o AndroxGh0st.
Para expandir o alcance de sua botnet, foi observado que RUBYCARP comprometeu sites WordPress usando combinações comuns de nome de usuário e senha. Uma vez obtido o acesso, eles instalam um backdoor baseado no popular Perl ShellBot, conectando o servidor da vítima a um servidor Internet Relay Chat (IRC) que atua como comando e controle.
A botnet, estimada em mais de 600 hosts, depende fortemente do IRC para comunicação e coordenação de campanhas de mineração de criptografia. Além disso, os membros do grupo se comunicam por meio de um canal de IRC da Undernet chamado #cristi e utilizam uma ferramenta de varredura em massa para identificar possíveis novos hosts.
O surgimento da RUBYCARP no cenário de ameaças cibernéticas ressalta sua habilidade em aproveitar a botnet para diversas atividades ilegais, incluindo mineração de criptografia e operações de phishing destinadas a roubar informações confidenciais, como números de cartão de crédito.