Группа киберпреступников из Румынии, известная как «RUBYCARP», использует уязвимости и методы брутфорса для взлома корпоративных сетей и серверов с целью получения финансовой выгоды. Источник: Sysdig
На данный момент RUBYCARP управляет более чем 600 зараженными серверами через частные IRC-каналы.
Эксперты отметили, что группа киберпреступников действует уже более десяти лет. Отчет также упоминает, что между RUBYCARP и APT-группой Outlaw есть определенные связи, основанные на общих тактиках, используемых их ботнетами.
Последняя кампания RUBYCARP включала атаки на приложения Laravel через уязвимость удаленного выполнения кода CVE-2021-3129, брутфорс SSH-серверов и атаки на сайты WordPress с использованием баз данных учетных записей.
После заражения сервера вредоносным ПО, оно подключается к C2-серверу на базе IRC и становится частью ботнета. Исследователи выявили три отдельных кластера ботнета — «Juice», «Cartier» и «Aridan», каждый из которых, вероятно, используется для различных целей.
Зараженные устройства могут использоваться для запуска DDoS-атак, фишинга, финансовых мошенничеств и майнинга криптовалюты. Группа использует майнеры NanoMiner, XMrig и собственную разработку C2Bash для майнинга криптовалюты, таких как Monero, Ethereum и Ravencoin, используя мощности жертв.
Кроме управления ботнетом, группа также занимается разработкой и продажей хакерских инструментов, что указывает на наличие обширного арсенала вредоносных программ в их распоряжении.
Напомним, в 2020 г. в Румынии пресекли деятельность киберпреступной группировки PentaGuard, готовившейся осуществить масштабные атаки на румынские больницы с использованием вымогательского ПО.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet