Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Una cyber-gang che probabilmente ha sede in Romania sta utilizzando un inedito SSH brute-forcer soprannominato “Diicot brute” per decifrare le password su macchine basate su Linux con password deboli.
Lo scopo della campagna è principalmente quello di distribuire il malware per minare Monero, hanno affermato i ricercatori di Bitdefender in un rapporto pubblicato mercoledì, anche se il kit potrebbe consentire loro di tentare altri tipi di attacchi.
I ricercatori hanno affermato di aver collegato il gruppo ad almeno due botnet DDoS (Distributed Denial-of-Service): una variante della botnet DDoS DemonBot basata su Linux chiamata “chernobyl” e un bot IRC Perl.
Il cryptojacking fa da scorciatoia per arrivare al bottino.
“Come tutti sapete, il mining di criptovalute è lento e noioso, ma può andare veloce quando si utilizzano più sistemi. Possedere più sistemi per il mining non è economico, quindi gli aggressori cercano la soluzione migliore: compromettere i dispositivi da remoto e usarli per il mining”.
Le password deboli non sono una sorpresa: i nomi utente e le password predefiniti o le credenziali deboli che possono essere facilmente violate tramite la forza bruta, sono un dato onnipresente e sfortunato in materia di sicurezza.
“Gli hacker che cercano credenziali SSH deboli non sono rari”
spiega il rapporto. La parte difficile non è necessariamente forzare le credenziali, ma piuttosto “fare in modo che gli aggressori non vengano rilevati”, secondo i ricercatori.
Come hanno spiegato gli analisti, l’autore dello strumento bruto Diicot ha affermato che può ignorare le honeypot.
I dati della Honeypot di Bitdefender mostrano che gli attacchi che corrispondono alla firma dello strumento di forza bruta sono iniziati a gennaio.
La campagna non vuole che il worm possa propagarsi sui sistemi compromessi, hanno detto i ricercatori, almeno non ancora:
“Gli indirizzi IP da cui provengono appartengono a un insieme relativamente piccolo, il che ci dice che gli attori della minaccia non sono ancora utilizzando sistemi compromessi per propagare il malware (comportamento del worm).”
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
