Rumänische Cryptojacking-Gruppe Brute-Forces Linux-Passwörter

Eine Hackerbande, die sich auf Cryptojacking konzentriert und vermutlich von Rumänien aus operiert, verwendet ein brandneues Brute-Force-Tool zum Hacken von Passwörtern und greift Linux-basierte Systeme an. Das Tool der Gruppe heißt Diicot Brute und ist Sicherheitsforschern noch nie zuvor begegnet.

Das Diicot Brute-Tool ist ein SSH-Passwort-Brute-Force-Programm, das versucht, schwache, schlecht konstruierte Passwörter auf Linux-Rechnern zu knacken. Sobald die Hacker Zugang erhalten, setzen sie einen Cryptominer ein, der mit der Monero-Kryptowährung arbeitet.

Die Praxis des Cryptojacking ist nicht besonders neu. Hacker verwenden seit Jahren bösartige Tools, die sich auf Kryptowährungen konzentrieren, um illegale Gewinne zu erzielen. Cryptojacking bezieht sich auf bösartige Akteure, die heimlich ein bösartiges Cryptomining-Tool auf dem Computer eines Opfers einsetzen und dann die Hardware des Opfers verwenden und Ressourcen für das Mining von Währungen verwenden, die in die Brieftasche des Hackers gelangen.

Natürlich ist es viel billiger, die Hardware eines anderen zu verwenden, als eine dedizierte Krypto-Farm einzurichten und exorbitante Stromrechnungen zu bezahlen, daher sind unternehmungslustige Hacker immer auf der Suche nach leichtem Geld mit den Computern ihrer Opfer.

Laut Forschern behauptet das Diicot Brute-Tool, dass es Brutstätten erkennen und vermeiden kann. Nach der Tatsache zu urteilen, dass es nur in einer solchen Brutstätte-Testumgebung gefangen wurde, scheint darauf hinzudeuten, dass Diicot noch einiges zu tun hat.

Die Verbindung der Kryptomalware zu Rumänien kommt von ihrer Schnittstelle – Diicot Brute hat eine Schnittstelle, die teils rumänisch, teils englisch präsentiert wird.

Die Hacker verwenden Discord auch, um ihnen Informationen zu melden. Dies kommt immer häufiger vor, da in den letzten Monaten mehrere andere Malware-Kampagnen die Infrastruktur von Discord nutzten, um illegale Aktivitäten zu unterstützen.

Die Malware funktioniert so, dass sie zuerst SSH-Server mit Port-Scanning ausspioniert. Als nächstes folgt der eigentliche Brute-Forcing-Schritt, der ausgeführt wird, bis gültige Anmeldeinformationen gefunden werden. Schließlich verbindet sich die Malware mit den geknackten Anmeldeinformationen über SSH und stellt dann ihre Cryptomining-Nutzlast bereit.

Das entmutigende Fazit des Sicherheitsberichts über die rumänischen Hacker ist, dass der Grund, warum ihr Tool funktioniert, einfach "Menschen" sind. Obwohl die Linux-Community für ihr obsessiv-zwanghaftes Verhalten in Bezug auf Sicherheit bekannt ist, gibt es offensichtlich immer noch viele schwache Passwörter, die es ermöglichen, ähnliche Brute-Force-Kits zu funktionieren.