Und blieben problemlos unentdeckt. Cyberkriminelle aus Rumänien, die unter dem Codenamen RUBYCARP agierten, blieben mehr als 10 Jahre lang unentdeckt und nutzten ein Botnetz aus 600 infizierten Servern, um Unternehmensnetzwerke und Server anzugreifen.© Ferra.ru
Laut einem Bericht von Sysdig nutzt RUBYCARP bekannte Schwachstellen und Brute-Force-Methoden, um Zugang zu den Systemen seiner Opfer zu erhalten. Die Gruppe verfügt über 39 Perl-basierte Malware-Varianten in ihrem Arsenal sowie einen umfangreichen Satz an Angriffstools.
Das RUBYCARP-Botnetz besteht aus drei Clustern: Juice, Cartier und Aridan, die jeweils für verwendet werden unterschiedliche Zwecke.
Infizierte Geräte können für DDoS-Angriffe, Phishing, Diebstahl von Finanzinformationen, Kryptowährungs-Mining und andere böswillige Aktivitäten verwendet werden.
In seiner neuesten Kampagne nutzte RUBYCARP die CVE- 2021-3129-Schwachstelle in Laravel-Anwendungen und griff auch SSH-Server und WordPress-Sites an. Die Hacker verschickten auch Phishing-E-Mails, in denen sie bekannte europäische Unternehmen wie Swiss Bank, Nets Bank und Bring Logistics nachahmten.
Obwohl RUBYCARP nicht der größte Botnet-Betreiber ist, ist ihre Fähigkeit, zehn Jahre lang unentdeckt zu bleiben, bezeichnend über das hohe Niveau ihrer Professionalität.