Nederlandse cybersecurityspecialisten hebben een grote cryptocurrency-diefstal gelinkt aan het beruchte Ebury-botnet, dat verantwoordelijk is voor het compromitteren van meer dan 400.000 servers over een periode van 15 jaar.
Volgens een rapport van het Slowaakse cybersecuritybedrijf ESET werd het incident aanvankelijk ontdekt tijdens een onderzoek in 2021 door de Nederlandse Nationale High Tech Crime Unit (NHTCU). Tijdens dit onderzoek vonden agenten het Ebury-botnet op een server die in verband werd gebracht met de cryptodiefstal. Na deze onthulling werkte de Nederlandse misdaadunit samen met ESET, onder leiding van onderzoeker Marc-Etienne Léveillé, die al meer dan een decennium Ebury bestudeerde.
De Ebury-operators zouden een geavanceerde aanval hebben gebruikt, genaamd adversary-in-the-middle (AitM), om de cryptofondsen te stelen. De aanval vindt plaats door het botnet dat netwerkverkeer onderschept en inloggegevens en sessie-informatie vastlegt. “Cryptocurrency-diefstal was iets dat we hen nog nooit eerder hadden zien doen,” merkte Léveillé op.
Het botnet leidt dit verkeer om naar servers die worden gecontroleerd door de cybercriminelen, waardoor ze toegang krijgen tot en cryptocurrency kunnen stelen uit de wallets van de slachtoffers. In het rapport onthulde ESET dat er in 2023 nog steeds meer dan 100.000 servers geïnfecteerd waren.
Ebury richt zich specifiek op Bitcoin– en Ethereum-nodes, waarbij het wallets en andere waardevolle gegevens buitmaakt. Het botnet zou de fondsen stelen zodra de nietsvermoedende slachtoffers hun inloggegevens op de geïnfecteerde server invoerden.
Bovendien, zodra het systeem van een slachtoffer was gecompromitteerd, zou Ebury inloggegevens exfiltreren en deze gebruiken om gerelateerde systemen binnen te dringen. Het rapport identificeerde een breed scala aan slachtoffers, variërend van universiteiten, bedrijven, internet-serviceproviders en cryptocurrency-handelaren.
De aanvallers gebruiken ook gestolen identiteiten om servers te huren en hun aanvallen uit te voeren. Daardoor is het voor wetshandhavingsinstanties erg moeilijk om de identiteit van de daders achter deze cybercrime-operatie te achterhalen. “Ze zijn echt goed in het vervagen van de attributie,” voegde Léveillé toe.
Een Ebury-operator, Maxim Senakh, werd in 2015 gearresteerd aan de grens tussen Finland en Rusland en werd uitgeleverd aan de Verenigde Staten. Het Amerikaanse ministerie van Justitie beschuldigde Senakh van computerfraude, waarvoor hij in 2017 schuldig pleitte. Hij werd veroordeeld tot vier jaar gevangenisstraf. Hoewel de meesterbreinen achter Ebury nog steeds op vrije voeten zijn, heeft de NHTCU onthuld dat er verschillende sporen worden onderzocht.
Cryptodiefstallen zijn door de jaren heen steeds gecompliceerder geworden. Eerder deze maand gebruikten Noord-Koreaanse hackers een nieuwe malwarevariant genaamd “Durian” voor gerichte aanvallen op ten minste twee cryptocurrency-bedrijven. Daarvoor onthulde een rapport van cybersecuritybedrijf Kaspersky in januari dat een malware zich richtte op cryptocurrency-wallets op MacOS.