Хакеры-невидимки из Румынии более 10 лет терроризировали местные компании

Согласно отчету компании Sysdig, RUBYCARP использует известные уязвимости и методы брутфорса для получения доступа к системам своих жертв. В арсенале группы 39 вариантов вредоносного ПО на базе Perl, а также обширный набор инструментов для атак.

Ботнет RUBYCARP состоит из трех кластеров: Juice, Cartier и Aridan, каждый из которых используется для разных целей.

Заражённые устройства могут применяться для DDoS-атак, фишинга, кражи финансовой информации, майнинга криптовалют и других вредоносных действий.

В своей последней кампании RUBYCARP использовала уязвимость CVE-2021-3129 в приложениях Laravel, а также атаковала SSH-серверы и сайты WordPress. Хакеры также рассылали фишинговые письма, имитируя известные европейские компании, такие как Swiss Bank, Nets Bank и Bring Logistics.

Несмотря на то, что RUBYCARP не является крупнейшим оператором ботнетов, их способность оставаться незамеченными на протяжении 10 лет говорит о высоком уровне их профессионализма.