Le groupe RUBYCARP aurait déjà infesté plus de 600 hotes avec son botent pour mener des attaques de types DDOS, réalisé du cryptomining ou déployer de vastes opérations de physhing.
Un nouveau botnet fait parler de lui sur les cannaux IRC publics et privés. Découvert par les équipes de Sysdig et affilié à un groupe de hackers roumains baptisé RUBYCARP, il sert principalement à monétiser des attaques de types DDOS, au cryptomining et au physhing. Déployé à l'aide d'une variété d'exploits publics et d'attaques par force bruteil est piloté via des réseaux IRC publics et privés par le groupe qui développe des cyberarmes et collecte des données de ciblage à des fins malicieuses.
Les honeypots de Sysdig, conçus pour attirer les acteurs malveillants subissent les foudre de RUBYCARP depuis des mois. Ces derniers cibles ainsi des applications Laravel vulnérables à la CVE-2021-3129 ou alors via des opérations SSH Brute forcing. Sysdig a également découvert des preuves que l’acteur malveillant ciblait des sites WordPress en utilisant des vidages de noms d'utilisateur et de mots de passe. Au cours de la phase de reconnaissance Sysdig a également trouvé 39 variantes du fichier Perl (shellbot). Huit figuraient dans VirusTotal, signifiant que seules quelques campagnes ont été détectées précédemment. En se connectant aux IRC utilisés par RUBYCARP, Sysdig a ainsi détecté plus de 600 hôtes compromis.