Diicot brute: un malware Linux per mining Monero è attivo.

Una cyber-gang che probabilmente ha sede in Romania sta utilizzando un inedito SSH brute-forcer soprannominato “Diicot brute” per decifrare le password su macchine basate su Linux con password deboli.

Lo scopo della campagna è principalmente quello di distribuire il malware per minare Monero, hanno affermato i ricercatori di Bitdefender in un rapporto pubblicato mercoledì, anche se il kit potrebbe consentire loro di tentare altri tipi di attacchi.

I ricercatori hanno affermato di aver collegato il gruppo ad almeno due botnet DDoS (Distributed Denial-of-Service): una variante della botnet DDoS DemonBot basata su Linux chiamata “chernobyl” e un bot IRC Perl.

Il cryptojacking fa da scorciatoia per arrivare al bottino.

“Come tutti sapete, il mining di criptovalute è lento e noioso, ma può andare veloce quando si utilizzano più sistemi. Possedere più sistemi per il mining non è economico, quindi gli aggressori cercano la soluzione migliore: compromettere i dispositivi da ​​remoto e usarli per il mining”.

Le password deboli non sono una sorpresa: i nomi utente e le password predefiniti o le credenziali deboli che possono essere facilmente violate tramite la forza bruta, sono un dato onnipresente e sfortunato in materia di sicurezza.

“Gli hacker che cercano credenziali SSH deboli non sono rari”

spiega il rapporto. La parte difficile non è necessariamente forzare le credenziali, ma piuttosto “fare in modo che gli aggressori non vengano rilevati”, secondo i ricercatori.

Come hanno spiegato gli analisti, l’autore dello strumento bruto Diicot ha affermato che può ignorare le honeypot.

I dati della Honeypot di Bitdefender mostrano che gli attacchi che corrispondono alla firma dello strumento di forza bruta sono iniziati a gennaio.

La campagna non vuole che il worm possa propagarsi sui sistemi compromessi, hanno detto i ricercatori, almeno non ancora:

“Gli indirizzi IP da cui provengono appartengono a un insieme relativamente piccolo, il che ci dice che gli attori della minaccia non sono ancora utilizzando sistemi compromessi per propagare il malware (comportamento del worm).”

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks