Botnet RUBYCARP

Un groupe de menaces connu sous le nom de RUBYCARP a été détecté exploitant un botnet persistant pour mener des attaques de crypto-minage, de déni de service distribué (DDoS) et de phishing. Les chercheurs pensent que RUBYCARP est d'origine roumaine.

Actif depuis au moins une décennie, RUBYCARP utilise son botnet principalement à des fins de gains financiers. Leur mode opératoire consiste à déployer un botnet via divers exploits publics et techniques de force brute. Le groupe communique via les réseaux IRC publics et privés.

Les premières découvertes suggèrent un chevauchement potentiel entre RUBYCARP et une autre entité menaçante nommée Outlaw. Outlaw a fait ses preuves en matière d'extraction de cryptomonnaies et d'attaques par force brute, mais s'est récemment concentré sur les campagnes de phishing et de spear phishing afin d'élargir son champ d'action.

RUBYCARP pourrait étendre ses méthodes d'attaque

Ces e-mails de phishing incitent souvent les destinataires à divulguer des informations privées, telles que des identifiants de connexion ou des informations financières. Une autre facette remarquable des tactiques de RUBYCARP consiste à utiliser un malware connu sous le nom de ShellBot (également reconnu sous le nom de PerlBot) pour infiltrer les environnements cibles. De plus, ils ont été observés en train d'exploiter des vulnérabilités de sécurité dans le framework Laravel (par exemple, CVE-2021-3129), une méthode également utilisée par d'autres acteurs malveillants comme AndroxGh0st .

Signe que les attaquants élargissent leur gamme de techniques d'accès initial pour étendre l'échelle du botnet, les chercheurs ont révélé des cas de sites WordPress compromis par des noms d'utilisateur et des mots de passe couramment utilisés.

Dès l’entrée, une porte dérobée est implantée sur la base d’une menace connue sous le nom de Perl ShellBot. Par la suite, le serveur de la victime est lié à un serveur IRC (Internet Relay Chat) fonctionnant comme Command-and-Control (C2), s'intégrant dans le plus grand botnet.

La taille du botnet est estimée à plus de 600 hôtes, le serveur IRC (« chat.juicessh.pro ») ayant été créé le 1er mai 2023. Il s'appuie fortement sur IRC pour la communication générale, ainsi que pour orchestrer les botnets et coordonner les opérations de cryptominage.

De plus, des membres du groupe ont été identifiés communiquant via un canal IRC Undernet nommé #cristi. De plus, ils utilisent un outil d’analyse de masse pour identifier de nouveaux hôtes potentiels.

Les cybercriminels RUBYCARP exploitent de nombreuses sources de revenus frauduleuses

L'émergence de RUBYCARP dans le paysage des cybermenaces n'est pas surprenante, étant donné leur capacité à exploiter leur botnet pour accéder à divers flux de revenus illicites, notamment les opérations de cryptomining et de phishing visant à récolter des numéros de carte de crédit.

Comme les chercheurs l’ont découvert, le cryptomining est la principale motivation du groupe de cybercriminalité depuis ses débuts. Alors que le groupe a fait évoluer ses tactiques, en se lançant dans des activités telles que le phishing et les attaques DDoS, le cryptomining est resté une activité constante tout au long de son histoire.

Bien qu’il semble que les données de cartes de crédit collectées soient principalement utilisées pour acquérir une infrastructure d’attaque, d’autres moyens de monétisation, tels que la vente des informations au sein du réseau clandestin de la cybercriminalité, sont également possibles.

En outre, les auteurs de la menace développent et vendent des cyberarmes, une pratique relativement rare. Dotées d’un vaste arsenal d’outils accumulés au fil des années, elles possèdent une grande flexibilité dans l’exécution de leurs opérations.