Кража криптовалют бот-сетью Ebury: угроза для сектора

Словацкая кибербезопасностная фирма ESET и голландская полиция нашли крупное кражу криптовалют, связанную с известным бот-сетью Ebury на прошлой неделе. Бот-сеть скомпрометировала более 400 000 серверов за последние 15 лет, что делает ее серьезной угрозой для сектора.

Как пояснили в отчете от 14 мая представители ESET, инцидент с бот-сетью Ebury впервые был обнаружен во время расследования в 2021 году голландским национальным учреждением по борьбе с высокотехнологичной преступностью (NHTCU). Операторы бот-сети Ebury использовали атаку `мужчина посередине` для кражи средств.

Оперативники обнаружили, что киберпреступники участвовали в серии краж криптовалют, специально нацеливаясь на узлы Ethereum и Bitcoin. По данным голландской полиции, операторы бот-сети воруют активы из кошельков ничего не подозревающих пользователей, когда те вводят свои учетные данные на зараженных серверах.

Бот-сеть Ebury, активная как минимум с 2009 года, используется для установки дополнительного вредоносного ПО, монетизации бот-сети (например, модулей для перенаправления веб-трафика), проксирования трафика для спама, проведения атак `мужчина посередине` и размещения поддерживающей зловредной инфраструктуры.

Атаки `мужчина посередине` включают перехват и потенциально изменение коммуникации между двумя сторонами без их ведома.

Между февралем 2022 и маем 2023 года бот-сеть Ebury скомпрометировала более 200 целей атаки `мужчина посередине` по всему миру, в 75 сетях 34 стран. Она крадет криптовалюты, учетные данные и данные кредитных карт, накапливая большие суммы денег со временем.

Доступ позволяет им красть средства непосредственно из этих кошельков или использовать скомпрометированные системы для майнинга криптовалют, извлекая ресурсы у ничего не подозревающих жертв. Способность бот-сети долгое время оставаться незамеченной позволяет ей продолжать свою деятельность, накапливая значительные суммы криптовалюты со временем. Кража криптовалюты нарастает.

Способность бот-сети Ebury компрометировать множество серверов создала необходимый вредоносный софт для облегчения крупномасштабной кражи криптовалют, которая уже стремительно возрастает.

Необходимо вспомнить, что данные PeckShield показывают, что $336,8 млн криптосредств были украдены в первом квартале (Q1) 2024 года. Также отчет Certik Hac3d показал, что Q1 2024 года был зафиксировано значительное количество убытков, превышающих $500 млн из-за кражи криптовалют, однако. Эта цифра означает увеличение на 54% по сравнению с тем же периодом 2023 года, в котором убытки составили около $326 млн.

Отчет Certik подчеркнул, что январь 2024 года был особенно тяжелым, с украденными $193 млн в ходе 78 инцидентов. Особенно заметны были компрометации приватных ключей, что привело к потере $239 млн во всего лишь 26 инцидентах.

Эти нарушения, нацеленные на уникальные ключи, которые люди используют для доступа к своим криптовалютным активам, составляют почти половину всех финансовых убытков, несмотря на то, что они составляют всего 11,7% всех сообщенных нарушений безопасности.