El mundo de los actores de amenazas es muy cambiante y la vida de ciertos grupos o bandas solo tiene una duración finita.
A veces, de estas surgen otras pandillas, de sus restos otras y así el cuento de nunca acabar. Pero también hay piratas informáticos organizados en estructuras más o menos estables que llevan muchos años 'dando guerra'. Es el caso del 'equipo' que nos ocupa hoy.
'Rubycarp' es un grupo de cibermalos vinculado a Rumanía que sigue activo tras más de una década de funcionamiento.
Como muchos ciberdelincuentes estarían interesados en cargas útiles que les permitan obtener ganancias financieras. Esto incluye criptominería, DDoS y phishing. Su flujo de ingresos ilícitos está bastante diversificado.
Los analistas del Sysdig Threat Research Team han hecho un perfil de la banda en un elaborado informe. Aseguran que puede tener cierta vinculación con otro un grupo de amenazas persistentes (APT) rumano llamado Outlaw, con actividades similares. Comparte muchas de las mismas tácticas, técnicas y procedimientos.
No obstante, esto es algo que ocurre entre muchos operadores de botnets, con lo que los investigadores no pueden llegar a esa conclusión definitivamente.
"En el turbio mundo de la inteligencia sobre amenazas cibercriminales, a menudo hay muchos cruces tanto en las herramientas como en los objetivos", explican desde Sysdig. "Muchos de estos actores de amenazas se enfrentan en el mismo espacio objetivo, lo que dificulta la atribución de ataques", añaden.
Rubycarp se ha enfocado en la explotación de aplicaciones Laravel vulnerables a CVE-2021-3129. Así, han usado ataques de fuerza bruta SSH como una manera en la que el grupo ha obtenido acceso a sus objetivos. Además, también se ha descubierto que han apuntado a sitios de WordPress usando volcados de nombres de usuarios y contraseñas.
No obstante, la banda rumana continúa incorporando nuevas técnicas de explotación a su arsenal para construir sus botnets.
Generalmente, el grupo se sirve de múltiples redes IRC para comunicaciones generales, pero también para gestionar sus redes de bots y coordinar campañas de criptominería.
Estos piratas informáticos tienen un aspecto comunitario que es interesante, ya que ayudan a orientar a las personas que son nuevas en la escena. Esto proporciona algunos beneficios financieros al grupo, ya que luego puede venderles el conjunto de herramientas que ha creado.
La herramienta más utilizada por Rubycarp es Mass Scanner (masscan). Esta es omnipresente en sus actividades previas a la explotación y se usa para encontrar nuevas víctimas potenciales.
Sus vectores de ataque
La veterana pandilla usa sus propios pools para minar que están alojados en los mismos dominios donde ha creado el servidor IRC para controlar los bots. Estos grupos de minería personalizados le permiten evitar la detección de listas de bloqueo basadas en IP, y el uso de puertos comunes y aleatorios proporciona otra capa de sigilo respecto a los sistemas de detección simples.
Los investigadores han descubierto igualmente que la banda no se ha centrado en una sola herramienta de minería o criptomoneda, sino que tiene varios mineros y wallets con actividad.
Además, Rubycarp ejecuta operaciones de phishing para robar activos financieramente valiosos, como números de tarjetas de crédito. Además de aprovechar esto para financiar su infraestructura también los usaría para otros fines o incluso para la venta.
"Si bien Rubycarp apunta a vulnerabilidades conocidas y realiza ataques de fuerza bruta, lo que lo hace más peligroso son sus herramientas posteriores a la explotación y la amplitud de sus capacidades (es decir, phishing). Defenderse de este grupo requiere una gestión diligente de las vulnerabilidades, una postura de seguridad sólida y detección de amenazas en tiempo de ejecución", señalan desde Sysdig.