Investigadores de ESET han revelado nuevos detalles sobre la ciberamenaza denominada Ebury, un sofisticado malware que ha estado activo durante 15 años y ha comprometido alrededor de 400.000 servidores Linux, con 100.000 de ellos aún vulnerables a finales de 2023, con el propósito de robar criptomonedas y datos bancarios.

Una botnet es un conjunto de dispositivos informáticos, como ordenadores, infectados con malware y controlados de forma remota por actores maliciosos para llevar a cabo actividades ilícitas. Desde 2009, la botnet Ebury ha sido utilizada como una puerta trasera para comprometer servidores Linux, reeBSD y OpenBSD, con un considerable número de servidores aún vulnerables.

Expertos en ciberseguridad han alertado que los responsables de Ebury han logrado acceder a servidores importantes de ISP y proveedores de alojamiento, lo que les ha permitido robar tarjetas de crédito y criptomonedas con éxito.

Según los investigadores de ESET, la botnet Ebury es una de las amenazas de malware del lado del servidor más avanzadas hasta la fecha. En 2014, ESET publicó un informe sobre la Operación Windigo, donde ciberdelincuentes utilizaron varias familias de malware en colaboración, siendo Ebury el núcleo de la operación.

Más recientemente, ESET ha identificado el uso de Ebury para realizar actividades ilícitas en más de 200 objetivos, incluidos nodos de criptomonedas como Bitcoin y Ethereum, en diferentes países y redes, entre febrero de 2022 y marzo de 2023, lo que resultó en robos de criptomonedas y datos de tarjetas de crédito de los usuarios.

Los ciberdelincuentes detrás de Ebury han desarrollado nuevas familias de malware y utilizado vulnerabilidades de día cero en el software de administrador para comprometer servidores masivamente. Las víctimas finales de Ebury van desde universidades hasta comerciantes de criptomonedas, sin límites geográficos para la propagación de la amenaza.

Según el investigador de ESET, Marc-Etienne M. Léveillé, Ebury representa una seria amenaza para la comunidad de seguridad de Linux, ya que actualmente no hay una solución sencilla para neutralizarla. A pesar de que suele afectar a aquellos menos preocupados por la seguridad, la lista de víctimas también incluye a individuos y organizaciones tecnológicamente expertas.