Redactie - 15 mei 2024

Linux-botnet Ebury is na vijftien jaar nog altijd actief

Het botnet Ebury is na vijftien jaar nog altijd actief en omvat ruim 400.000 geïnfecteerde Linux-servers. Het botnet weet vaak onder de radar te blijven.

Linux-botnet Ebury is na vijftien jaar nog altijd actief image

Dit meldt securitybedrijf ESET. Grote delen van het internet draaien op Linux-servers, en dat is ook criminelen niet ontgaan. De Ebury-bende baat al sinds 2009 een botnet uit specifiek voor dit soort servers. ‘Ze gebruiken OpenSSH voor de infectie, een van de meest populaire manieren om tussen thuiscomputers en de Linux-server te communiceren’, zegt Marc-Etienne M. Léveillé tegen een groep journalisten op Eset World in Bratislava, Slovakije.

Eset onderzoekt de groep al jaren en maakte een eerste rapport tien jaar geleden. "Toen werd de malware gebruikt om een backdoor in een server te installeren, waarna de bende daar ook logins kon gaan stelen en meer. Ze gebruikten die servers om geld te verdienen, bijvoorbeeld door internetverkeer af te leiden", aldus Léveillé. Het Ebury-botnet heeft de afgelopen jaren ook zijn activiteiten uitgebreid naar onder meer man-in-the-middle aanvallen en het stelen van creditcardgegevens en cryptoportefeuilles.

Nieuwe versie

Na het eerste rapport werd een nieuwe versie uitgebracht, die in een hoog tempo zijn verspreid. "Waar we toen een overzicht van het botnet hadden van zo’n 40.000 servers, zijn dat er nu meer dan 400.000", zegt Léveillé. Dat grote aantal werd aangevallen na het stelen van credentials, maar ook door binnen te breken bij hosting providers. Zo kan ineens een hele reeks servers worden geïnfecteerd, meestal zonder dat de klanten van de provider daar erg in hebben.

"Ebury is heel goed in ongemerkt blijven", zegt Léveillé. "Soms zit de malware een dozijn jaren op de servers, niet zelden bij grote organisaties." Wat doe je daar dan aan? Daar is het antwoord niet makkelijk, zegt Léveillé. Een van de oplossingen is bijvoorbeeld het gebruik van meerstapsverificatie, maar dat zit standaard niet in OpenSSH.

In samenwerking met Data News

CompTIA Community Benelux BW 7-31 mei Darktrace BW 28-05 tm 18-06-2024
BN en BW Anderswerken 15-05-2024 tm 31-05-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!