Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 18 Luglio 2021 07:01
Una cyber-gang che probabilmente ha sede in Romania sta utilizzando un inedito SSH brute-forcer soprannominato “Diicot brute” per decifrare le password su macchine basate su Linux con password deboli.
Lo scopo della campagna è principalmente quello di distribuire il malware per minare Monero, hanno affermato i ricercatori di Bitdefender in un rapporto pubblicato mercoledì, anche se il kit potrebbe consentire loro di tentare altri tipi di attacchi.
I ricercatori hanno affermato di aver collegato il gruppo ad almeno due botnet DDoS (Distributed Denial-of-Service): una variante della botnet DDoS DemonBot basata su Linux chiamata “chernobyl” e un bot IRC Perl.
Il cryptojacking fa da scorciatoia per arrivare al bottino.
“Come tutti sapete, il mining di criptovalute è lento e noioso, ma può andare veloce quando si utilizzano più sistemi. Possedere più sistemi per il mining non è economico, quindi gli aggressori cercano la soluzione migliore: compromettere i dispositivi da remoto e usarli per il mining”.
Le password deboli non sono una sorpresa: i nomi utente e le password predefiniti o le credenziali deboli che possono essere facilmente violate tramite la forza bruta, sono un dato onnipresente e sfortunato in materia di sicurezza.
“Gli hacker che cercano credenziali SSH deboli non sono rari”
spiega il rapporto. La parte difficile non è necessariamente forzare le credenziali, ma piuttosto “fare in modo che gli aggressori non vengano rilevati”, secondo i ricercatori.
Come hanno spiegato gli analisti, l’autore dello strumento bruto Diicot ha affermato che può ignorare le honeypot.
I dati della Honeypot di Bitdefender mostrano che gli attacchi che corrispondono alla firma dello strumento di forza bruta sono iniziati a gennaio.
La campagna non vuole che il worm possa propagarsi sui sistemi compromessi, hanno detto i ricercatori, almeno non ancora:
“Gli indirizzi IP da cui provengono appartengono a un insieme relativamente piccolo, il che ci dice che gli attori della minaccia non sono ancora utilizzando sistemi compromessi per propagare il malware (comportamento del worm).”
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
