Uma das campanhas de malware mais avançadas do lado do servidor continua crescendo, com centenas de milhares de servidores comprometidos, diversificando suas atividades para incluir roubo de cartões de crédito e criptomoedas.

Entre as vítimas estão muitos provedores de hospedagem. A gangue aproveita seu acesso à infraestrutura do provedor de hospedagem para instalar o Ebury em todos os servidores alugados por aquele provedor.

Outro método interessante é o uso de “adversário no meio” para interceptar o tráfego SSH de alvos interessantes dentro de data centers e redirecioná-lo para um servidor usado para capturar credenciais. Os operadores do Ebury aproveitam servidores já comprometidos na mesma rede que o alvo para realizar ARP spoofing.

Os operadores do Ebury têm como alvo especialmente servidores de hospedagem devido à sua vasta infraestrutura e aos múltiplos usuários que atendem. Isso lhes permite expandir rapidamente a rede de servidores comprometidos e aumentar seus ganhos financeiros através do roubo de criptomoedas e informações de cartões de crédito.