Diicot brute: un malware Linux per mining Monero è attivo.


Una cyber-gang che probabilmente ha sede in Romania sta utilizzando un inedito SSH brute-forcer soprannominato "Diicot brute" per decifrare le password su macchine basate su Linux con password deboli.


Lo scopo della campagna è principalmente quello di distribuire il malware per minare Monero, hanno affermato i ricercatori di Bitdefender in un rapporto pubblicato mercoledì, anche se il kit potrebbe consentire loro di tentare altri tipi di attacchi.



I ricercatori hanno affermato di aver collegato il gruppo ad almeno due botnet DDoS (Distributed Denial-of-Service): una variante della botnet DDoS DemonBot basata su Linux chiamata "chernobyl" e un bot IRC Perl.


Il cryptojacking fa da scorciatoia per arrivare al bottino.

"Come tutti sapete, il mining di criptovalute è lento e noioso, ma può andare veloce quando si utilizzano più sistemi. Possedere più sistemi per il mining non è economico, quindi gli aggressori cercano la soluzione migliore: compromettere i dispositivi da ​​remoto e usarli per il mining".


Le password deboli non sono una sorpresa: i nomi utente e le password predefiniti o le credenziali deboli che possono essere facilmente violate tramite la forza bruta, sono un dato onnipresente e sfortunato in materia di sicurezza.


"Gli hacker che cercano credenziali SSH deboli non sono rari"


spiega il rapporto. La parte difficile non è necessariamente forzare le credenziali, ma piuttosto "fare in modo che gli aggressori non vengano rilevati", secondo i ricercatori.


Come hanno spiegato gli analisti, l'autore dello strumento bruto Diicot ha affermato che può ignorare le honeypot.



I dati della Honeypot di Bitdefender mostrano che gli attacchi che corrispondono alla firma dello strumento di forza bruta sono iniziati a gennaio.


La campagna non vuole che il worm possa propagarsi sui sistemi compromessi, hanno detto i ricercatori, almeno non ancora:

"Gli indirizzi IP da cui provengono appartengono a un insieme relativamente piccolo, il che ci dice che gli attori della minaccia non sono ancora utilizzando sistemi compromessi per propagare il malware (comportamento del worm).”