Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Бурный рост SSH-переборов: ShellBot и активность RUBYCARP

5
3 мин
Четвёртый квартал 2025 года ознаменовался значительным ростом атак на SSH‑серверы под управлением Linux. Аналитический центр безопасности AhnLab (ASEC) в своём отчёте фиксирует усиление активности злоумышленников, которые массово используют методы перебора (brute‑force / словарные атаки) и приманки для сбора данных — так называемые honeypots — чтобы автоматизировать поиск и эксплуатацию уязвимых систем. «Примечательно, что в отчёте подчеркивается появление вредоносного ПО ShellBot, связанного с хакерской группировкой RUBYCARP.» ASEC связывает ShellBot с группировкой RUBYCARP, которая действует более десяти лет. Основные направления их деятельности, отмеченные в отчёте: Закрепление и эволюция таких семейств вредоносного ПО, как ShellBot, демонстрируют, что киберпреступники продолжают расширять свои операции за счёт автоматизации и повторного использования известных векторов атак. В отчёте ASEC приводится статистический анализ эффективности атак методом перебора за отчётный период: масшт
Оглавление

Четвёртый квартал 2025 года ознаменовался значительным ростом атак на SSH‑серверы под управлением Linux. Аналитический центр безопасности AhnLab (ASEC) в своём отчёте фиксирует усиление активности злоумышленников, которые массово используют методы перебора (brute‑force / словарные атаки) и приманки для сбора данных — так называемые honeypots — чтобы автоматизировать поиск и эксплуатацию уязвимых систем.

Ключевые наблюдения

  • Атаки в основном нацелены на плохо защищённые SSH‑инстансы Linux, где используются слабые пароли или включена аутентификация по паролю.
  • Злоумышленники широко применяют автоматизированные скрипты и ботнет‑инструменты для масштабного перебора учётных данных и дальнейшего распространения по сети.
  • В отчёте отмечается использование приманок для сбора данных, что позволяет злоумышленникам улучшать свои алгоритмы и ускорять компрометацию новых целей.
  • Выделяется появление и активное применение вредоносного ПО ShellBot, связанного с группой RUBYCARP.
«Примечательно, что в отчёте подчеркивается появление вредоносного ПО ShellBot, связанного с хакерской группировкой RUBYCARP.»

О группе RUBYCARP и ShellBot

ASEC связывает ShellBot с группировкой RUBYCARP, которая действует более десяти лет. Основные направления их деятельности, отмеченные в отчёте:

  • создание ботнет‑сетей через эксплуатацию публично известных уязвимостей и перебор паролей;
  • dобыча криптовалют (coin‑mining) с использованием захвачённых ресурсов;
  • распределённые атаки типа DDoS и вымогательство трафиком;
  • фишинговые кампании, направленные на финансовую выгоду.

Закрепление и эволюция таких семейств вредоносного ПО, как ShellBot, демонстрируют, что киберпреступники продолжают расширять свои операции за счёт автоматизации и повторного использования известных векторов атак.

Статистика и тенденции

В отчёте ASEC приводится статистический анализ эффективности атак методом перебора за отчётный период: масштабность автоматизированных сканирований выросла, а время между первичной компрометацией и установкой полезной нагрузки сократилось. Это указывает на то, что злоумышленники оптимизировали цепочку эксплуатации — от обнаружения уязвимой машины до внедрения ShellBot и подключения её к ботнету.

Риски для организаций

Последствия компрометации SSH‑серверов включают:

  • создание ботнет‑узлов и дальнейшее распространение вредоносного ПО внутри сети;
  • использование ресурсов для майнинга, что снижает производительность и повышает расходы;
  • участие в DDoS‑атаках, репутационные потери и возможные юридические последствия;
  • утечка конфиденциальных данных и доступ к административным системам при эскалации привилегий.

Рекомендации ASEC и практические меры

Отчёт служит напоминанием о необходимости усилить защиту SSH‑инфраструктуры. К ключевым практикам относятся:

  • Отключить аутентификацию по паролю и перейти на key‑based authentication;
  • внедрить многофакторную аутентификацию (MFA) для административных доступов;
  • ограничить доступ по IP (через white‑list) и использовать VPN для удалённых подключений;
  • внедрить механизмы защиты от перебора: fail2ban, rate limiting, блокировка по порогам неудачных попыток;
  • регулярно обновлять ОС и сервисы, своевременно устранять публично известные уязвимости;
  • периодически проводить аудит логов, мониторинг целостности файлов и поиск индикаторов компрометации (IOCs) — в частности, для ShellBot;
  • сегментировать сеть, минимизировать права сервисных и пользовательских учётных записей;
  • организовать процедуру инцидент‑реагирования: быстрое выявление, изоляция и очистка заражённых хостов.

Вывод

Отчёт ASEC за четвёртый квартал 2025 года подтверждает тревожную тенденцию: злоумышленники всё чаще автоматизируют перебор и эксплуатацию уязвимых SSH‑серверов Linux, а инструменты вроде ShellBot и активности группировки RUBYCARP усиливают риски для организаций. Постоянная бдительность и проактивное управление безопасностью остаются обязательным условием для снижения вероятности несанкционированного доступа и минимизации последствий атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Бурный рост SSH-переборов: ShellBot и активность RUBYCARP".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются