Un grupo de amenazas de presunto origen rumano llamado RUBYCARP ha sido relacionado con un botnet de larga duración utilizado para minería de criptomonedas, ataques de denegación de servicio distribuido (DDoS) y phishing. Según un informe de Sysdig, una empresa de seguridad en la nube, RUBYCARP ha estado activo durante al menos 10 años y utiliza el botnet con fines económicos. El grupo se comunica a través de redes IRC públicas y privadas y utiliza un malware llamado ShellBot para violar entornos seleccionados. Además, se han observado señales de sitios de WordPress comprometidos utilizando nombres de usuario y contraseñas comúnmente utilizados. RUBYCARP ha sido relacionado con otro conglomerado de ciberamenazas llamado Outlaw, que también se dedica a la minería de criptomonedas y ataques de fuerza bruta, entre otras actividades cibernéticas ilícitas. Sysdig afirma que el botnet de RUBYCARP comprende más de 600 hosts y depende en gran medida de IRC para coordinar sus campañas. Los miembros del grupo se comunican a través de un canal de IRC llamado #cristi.
La capacidad de RUBYCARP para aprovechar botnets para diversas actividades ilegales probablemente se deba a su capacidad para obtener varios flujos de ingresos ilícitos, como la minería de criptomonedas y las operaciones de phishing para robar números de tarjetas de crédito. Según Sysdig, estos actores de amenazas también están involucrados en el desarrollo y venta de armas cibernéticas. RUBYCARP tiene un gran arsenal de herramientas que han acumulado a lo largo de los años, lo que les brinda una amplia gama de flexibilidad al realizar sus operaciones. La presencia continua de RUBYCARP en la escena de amenazas cibernéticas es motivo de preocupación, ya que sus actividades ilícitas pueden poner en peligro la seguridad de la información personal y financiera.
Vía The Hacker News
