30 janvier 2025

Krusell France

Ta dose d'actu digital !

Ebury : 400 000 serveurs Linux infectés en 15 ans, les détails

9 mois ago Julien Castex
Botnet Ebury - 400 000 serveurs Linux compromis depuis 2009
Rate this post

Depuis 2009, le botnet nommé Ebury a infecté pas moins de 400 000 serveurs Linux, et à la fin de l’année 2023, environ 100 000 appareils étaient toujours infectés par ce logiciel malveillant. Faisons le point !

Sommaire masquer
1 Progression du botnet Ebury
2 La tactique du botnet Ebury
3 Actualités similaires :

Progression du botnet Ebury

Depuis plus de 10 ans, les chercheurs en sécurité de chez ESET suivent la progression et le comportement du botnet Ebury. Il a évolué au fil des années, que ce soit au niveau de ses capacités d’infection, que du nombre de machines compromises.

Au total, Ebury a permis d’infecter 400 000 serveurs Linux en 15 années d’activités. Ce chiffre est énorme, mais la période est importante également : tous les serveurs n’ont pas été infectés en même temps. Comme l’explique ESET, ce botnet est actif au niveau mondial : “Il est à noter qu’il n’y a pas de limite géographique à Ebury, ce qui signifie que toute variation exceptionnelle est principalement due à l’emplacement des centres de données les plus populaires.”

ESET estime qu’il est difficile d’estimer la taille du botnet à un moment donné, notamment car “il y a un flux constant de nouveaux serveurs compromis, tandis que d’autres sont nettoyés ou mis hors service.”

La tactique du botnet Ebury

Les cyberattaques récentes d’Ebury montrent que les cybercriminels qui sont aux manettes cherchent à s’introduire sur l’infrastructure des fournisseurs de services Cloud et hébergeurs. Ainsi, ils peuvent prendre le contrôle des serveurs des clients de l’hébergeur dont l’infrastructure est compromise. Par exemple, il peut s’agir de serveurs VPS ou de containers.

Pour l’accès initial, la technique classique du credential stuffing est utilisée, c’est-à-dire que des couples d’identifiants et mots de passe volés sont utilisés pour essayer de “brute forcer” la cible. Lorsqu’Ebury parvient à compromettre un serveur, il s’intéresse aux connexions SSH en exfiltrant le contenu du fichier “known_host” et en volant les clés SSH. Ces informations sont ensuite utilisées pour tenter de se déplacer vers d’autres machines, notamment celles connectées sur le même segment réseau.

Par la suite, le malware est capable de rediriger le trafic du serveur compromis vers un serveur piloté par les attaquants, grâce à de l’ARP spoofing. Là encore, ceci permet aux attaquants de collecter des identifiants SSH qui seront ensuite utilisés pour compromettre de nouvelles machines.

Les serveurs compromis sont utilisés par les pirates d’Ebury dans le cadre d’opérations visant à générer de l’argent. Certains serveurs seront utilisés pour envoyer des e-mails de phishing, tandis que d’autres vont héberger des sites falsifiés permettant de voler des numéros de cartes bancaires.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. 7 conseils pour trouver des serveurs Discord
  2. Qualcomm progresse dans son adaptation du Snapdragon X Elite pour Linux
  3. Stumble Guys débarque sur PlayStation : tous les détails ici
  4. Linux s’adapte parfaitement au Snapdragon X Elite de Qualcomm, le support natif est assuré
  5. Linus Torvalds : un testeur Arm64 Linux expertisé sur un nouvel Ampere AArch64.
  6. Asus modifie ses politiques RMA suite à de nombreuses plaintes: les détails
Tags:

Plus d'actu

tuto windows 11 pagefile.sys - Guide complet

Comment optimiser la taille du fichier pagefile.sys sur Windows

5 jours ago Julien Castex
Google lance un Chrome Web Store personnalisable pour les entreprises

Optimisez la sécurité de votre navigateur avec le Chrome Web Store pour les entreprises

6 jours ago Julien Castex
tuto sécuriser routeur cisco avec cisco autosecure

Sécuriser votre routeur Cisco en quelques étapes simples

6 jours ago Julien Castex

Vous avez peut-être manqué

Sam Altman in the Oval Office

Project Stargate : derrière le mirage, un deal juteux pour OpenAI

5 jours ago Mia Dufresne
PlayStation 6 leak has fans slam PS5 as 'worst gen of all-time'

La PS5 en péril : Pourquoi les gamers la jugent la pire génération de consoles

5 jours ago Alex Lopez
Upcoming Samsung Exynos 2500 chipset specs leak once again

Samsung Galaxy Z Flip 7 : Première fois avec puce Exynos maison – Détails exclusifs de la nouvelle source

5 jours ago Romain Barry
Forget ChatGPT — Google Gemini is my favorite AI product of the year

7 raisons de souscrire à Google Gemini Advanced pour booster votre productivité et créativité

5 jours ago Mia Dufresne