Rumænsk-baseret Cryptojacking Group Brute-Forces Linux-adgangskoder

En bande af hackere med fokus på cryptojacking og menes at operere ud af Rumænien bruger et splinternyt værktøj til hacking af adgangskode og angriber Linux-baserede systemer. Gruppens værktøj hedder Diicot Brute og har aldrig været stødt på før af sikkerhedsforskere.

Diicot Brute-værktøjet er en SSH-adgangskode, der forsøger at knække svage, dårligt konstruerede adgangskoder på Linux-maskiner. Når hackerne får adgang, distribuerer de en cryptominer, der fungerer med Monero-kryptokurrency.

Praksis med cryptojacking er ikke særlig ny. Hackere har brugt ondsindede værktøjer med fokus på kryptokurrency for at opnå ulovlig fortjeneste i årevis nu. Cryptojacking henviser til dårlige skuespillere, der snigende anvender et ondsindet kryptomineringsværktøj på offerets maskine og derefter bruger ofrets hardware og ressourcer til at udvinde valuta, der går i hackers tegnebog.

Det er selvfølgelig meget billigere at bruge en andens hardware end at oprette en dedikeret kryptofarm og betale ublu strømregninger, så ivrige hackere er altid på udkig efter nemme penge ved hjælp af deres offers computere.

Ifølge forskere hævder Diicot Brute-værktøjet, at det har evnen til at opdage og undgå hotbeds. At dømme efter det faktum, at det kun blev fanget i et sådant testmiljø til hotbed, synes at indikere, at Diicot stadig har noget arbejde at gøre.

Kryptomalwarens forbindelse til Rumænien kommer fra dens grænseflade - Diicot Brute har en grænseflade, der præsenteres delvist rumænsk, del engelsk.

Hackerne bruger også Discord til at rapportere information tilbage til dem. Dette er en stadig mere almindelig begivenhed med flere andre malware-kampagner i de sidste par måneder ved hjælp af Discords infrastruktur til at hjælpe ulovlige aktiviteter.

Den måde, malware fungerer på, er, at den først snuser SSH-servere ved hjælp af port scanning. Dernæst er det faktiske brute-tvangstrin, der kører, indtil gyldige legitimationsoplysninger findes. Endelig forbinder malware ved hjælp af de revnede legitimationsoplysninger ved hjælp af SSH og implementerer derefter dets kryptomining-nyttelast.

Den nedslående bundlinje fra sikkerhedsrapporten om de rumænske hackere er, at grunden til, at deres værktøj fungerer, simpelthen er "mennesker". Selvom Linux-samfundet er berømt for sin obsessive-kompulsive adfærd, når det kommer til sikkerhed, er der naturligvis stadig masser af svage adgangskoder, der gør det muligt for lignende brute force-kits at arbejde.