СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:39
#ИБ

Бурный рост SSH-переборов: ShellBot и активность RUBYCARP

Четвёртый квартал 2025 года ознаменовался значительным ростом атак на SSH‑серверы под управлением Linux. Аналитический центр безопасности AhnLab (ASEC) в своём отчёте фиксирует усиление активности злоумышленников, которые массово используют методы перебора (brute‑force / словарные атаки) и приманки для сбора данных — так называемые honeypots — чтобы автоматизировать поиск и эксплуатацию уязвимых систем.

Ключевые наблюдения

  • Атаки в основном нацелены на плохо защищённые SSH‑инстансы Linux, где используются слабые пароли или включена аутентификация по паролю.
  • Злоумышленники широко применяют автоматизированные скрипты и ботнет‑инструменты для масштабного перебора учётных данных и дальнейшего распространения по сети.
  • В отчёте отмечается использование приманок для сбора данных, что позволяет злоумышленникам улучшать свои алгоритмы и ускорять компрометацию новых целей.
  • Выделяется появление и активное применение вредоносного ПО ShellBot, связанного с группой RUBYCARP.

«Примечательно, что в отчёте подчеркивается появление вредоносного ПО ShellBot, связанного с хакерской группировкой RUBYCARP.»

О группе RUBYCARP и ShellBot

ASEC связывает ShellBot с группировкой RUBYCARP, которая действует более десяти лет. Основные направления их деятельности, отмеченные в отчёте:

  • создание ботнет‑сетей через эксплуатацию публично известных уязвимостей и перебор паролей;
  • dобыча криптовалют (coin‑mining) с использованием захвачённых ресурсов;
  • распределённые атаки типа DDoS и вымогательство трафиком;
  • фишинговые кампании, направленные на финансовую выгоду.

Закрепление и эволюция таких семейств вредоносного ПО, как ShellBot, демонстрируют, что киберпреступники продолжают расширять свои операции за счёт автоматизации и повторного использования известных векторов атак.

Статистика и тенденции

В отчёте ASEC приводится статистический анализ эффективности атак методом перебора за отчётный период: масштабность автоматизированных сканирований выросла, а время между первичной компрометацией и установкой полезной нагрузки сократилось. Это указывает на то, что злоумышленники оптимизировали цепочку эксплуатации — от обнаружения уязвимой машины до внедрения ShellBot и подключения её к ботнету.

Риски для организаций

Последствия компрометации SSH‑серверов включают:

  • создание ботнет‑узлов и дальнейшее распространение вредоносного ПО внутри сети;
  • использование ресурсов для майнинга, что снижает производительность и повышает расходы;
  • участие в DDoS‑атаках, репутационные потери и возможные юридические последствия;
  • утечка конфиденциальных данных и доступ к административным системам при эскалации привилегий.

Рекомендации ASEC и практические меры

Отчёт служит напоминанием о необходимости усилить защиту SSH‑инфраструктуры. К ключевым практикам относятся:

  • Отключить аутентификацию по паролю и перейти на key‑based authentication;
  • внедрить многофакторную аутентификацию (MFA) для административных доступов;
  • ограничить доступ по IP (через white‑list) и использовать VPN для удалённых подключений;
  • внедрить механизмы защиты от перебора: fail2ban, rate limiting, блокировка по порогам неудачных попыток;
  • регулярно обновлять ОС и сервисы, своевременно устранять публично известные уязвимости;
  • периодически проводить аудит логов, мониторинг целостности файлов и поиск индикаторов компрометации (IOCs) — в частности, для ShellBot;
  • сегментировать сеть, минимизировать права сервисных и пользовательских учётных записей;
  • организовать процедуру инцидент‑реагирования: быстрое выявление, изоляция и очистка заражённых хостов.

Вывод

Отчёт ASEC за четвёртый квартал 2025 года подтверждает тревожную тенденцию: злоумышленники всё чаще автоматизируют перебор и эксплуатацию уязвимых SSH‑серверов Linux, а инструменты вроде ShellBot и активности группировки RUBYCARP усиливают риски для организаций. Постоянная бдительность и проактивное управление безопасностью остаются обязательным условием для снижения вероятности несанкционированного доступа и минимизации последствий атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: