Redazione RHC : 18 Luglio 2021 07:01
Una cyber-gang che probabilmente ha sede in Romania sta utilizzando un inedito SSH brute-forcer soprannominato “Diicot brute” per decifrare le password su macchine basate su Linux con password deboli.
Lo scopo della campagna è principalmente quello di distribuire il malware per minare Monero, hanno affermato i ricercatori di Bitdefender in un rapporto pubblicato mercoledì, anche se il kit potrebbe consentire loro di tentare altri tipi di attacchi.
Supporta Red Hot Cyber attraverso
I ricercatori hanno affermato di aver collegato il gruppo ad almeno due botnet DDoS (Distributed Denial-of-Service): una variante della botnet DDoS DemonBot basata su Linux chiamata “chernobyl” e un bot IRC Perl.
Il cryptojacking fa da scorciatoia per arrivare al bottino.
“Come tutti sapete, il mining di criptovalute è lento e noioso, ma può andare veloce quando si utilizzano più sistemi. Possedere più sistemi per il mining non è economico, quindi gli aggressori cercano la soluzione migliore: compromettere i dispositivi da remoto e usarli per il mining”.
Le password deboli non sono una sorpresa: i nomi utente e le password predefiniti o le credenziali deboli che possono essere facilmente violate tramite la forza bruta, sono un dato onnipresente e sfortunato in materia di sicurezza.
“Gli hacker che cercano credenziali SSH deboli non sono rari”
spiega il rapporto. La parte difficile non è necessariamente forzare le credenziali, ma piuttosto “fare in modo che gli aggressori non vengano rilevati”, secondo i ricercatori.
Come hanno spiegato gli analisti, l’autore dello strumento bruto Diicot ha affermato che può ignorare le honeypot.
I dati della Honeypot di Bitdefender mostrano che gli attacchi che corrispondono alla firma dello strumento di forza bruta sono iniziati a gennaio.
La campagna non vuole che il worm possa propagarsi sui sistemi compromessi, hanno detto i ricercatori, almeno non ancora:
“Gli indirizzi IP da cui provengono appartengono a un insieme relativamente piccolo, il che ci dice che gli attori della minaccia non sono ancora utilizzando sistemi compromessi per propagare il malware (comportamento del worm).”
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009