Souvenez-vous : les cybercriminels du gang Ebury, responsables de l'opération Windigo, ont infecté et exploité plus de 25 000 serveurs Linux® dans le monde. Lors de cette opération cybercriminelle, 35 millions de spams par jour ont été envoyés, générant des millions de dollars en paiements frauduleux.
Le mardi 28 mars 2017, Maxim SENAKH, l'un des complices de l’opération Windigo, plaide coupable d’avoir violé la loi américaine de 1986 sur la répression des fraudes et infractions dans le domaine informatique (Computer Fraud and Abuse Act). Il reconnaît devant le juge Patrick J. SCHLITZ, du district américain du Minnesota, avoir commis une fraude informatique. Ce jugement intervient trois ans après la publication de l'enquête ESET sur l'opération Windigo et les acteurs responsables de la campagne Linux/Ebury.
Les chercheurs ESET® ont aidé le FBI à mener cette enquête en fournissant :
- une expertise technique dans l'identification des réseaux d'affiliés utilisés par le gang Ebury
- les données permettant d’identifier les victimes
- un rapport technique complet de l'activité des groupes
Maxim SENAKH, citoyen russe, a été inculpé le 13 janvier 2016 suite à son arrestation et son extradition depuis la Finlande.
Selon les aveux recueillis dans le cadre d’une éventuelle remise de peine, le malware Linux/Ebury récoltait des informations d'identification sur des serveurs infectés, permettant à Maxim SENAKH et à ses complices de créer et d'exploiter un botnet comprenant des dizaines de milliers de serveurs infectés à travers le monde.
Maxim SENAKH et ses complices ont utilisé le botnet Ebury pour générer et réorienter le trafic Internet en vue de diverses opérations de phishing avec des envois de flux de spams. Maxim SENAKH a soutenu l'entreprise criminelle en les aidant à exploiter l'infrastructure du botnet Ebury. Il a personnellement tiré profit du trafic généré par le botnet.
À l'instar de nombreuses enquêtes sur la cybercriminalité, cette affaire concerne plusieurs entités, dont le bureau du FBI de Minneapolis, la section du crime informatique et de la propriété intellectuelle du ministère de la Justice, le procureur des États-Unis pour le district du Minnesota, le Bundeskriminalamt (BKA), le CERT-Bund et le bureau des affaires internationales de la division criminelle du ministère de la Justice.
Au cours des dernières années, ESET constate une augmentation du volume et de la sophistication des infrastructures ciblées par les APTs. En 2016, la découverte de BlackEnergy a permis de poursuivre des cybercriminels qui créaient des logiciels malveillants dans le but de causer des dommages considérables.
Linux est souvent négligé en raison du manque d’usage d’outils d’analyse de la sécurité du système (télémétrie). À noter que le programme malveillant Linux/Ebury n'interrompt pas l'activité légitime du serveur concerné, donc l'exécution d'une solution de sécurité sur serveur constitue une bonne mesure préventive.
Si vous souhaitez plus d’informations, nous nous tenons à votre disposition pour une interview avec l’un de nos experts.