Contraseñas de Linux de fuerzas brutas del grupo de criptojacking con base en Rumanía

Una banda de piratas informáticos centrados en el cryptojacking y que se cree que operan desde Rumania está utilizando una nueva herramienta de hackeo de contraseñas por fuerza bruta y atacando sistemas basados en Linux. La herramienta del grupo se llama Diicot Brute y nunca antes la habían encontrado los investigadores de seguridad.

La herramienta Diicot Brute es una herramienta de fuerza bruta de contraseñas SSH que intenta descifrar contraseñas débiles y mal construidas en máquinas Linux. Una vez que los piratas informáticos obtienen acceso, implementan un criptominer que funciona con la criptomoneda Monero.

La práctica del cryptojacking no es particularmente nueva. Los piratas informáticos han estado utilizando herramientas maliciosas centradas en las criptomonedas para obtener ganancias ilegales durante años. El criptojacking se refiere a los malos actores que despliegan sigilosamente una herramienta de minería de criptomonedas maliciosa en la máquina de una víctima y luego usan el hardware de la víctima y los recursos para minar la moneda que va a la billetera del pirata informático.

Por supuesto, usar el hardware de otra persona es mucho más barato que configurar una granja de criptografía dedicada y pagar facturas de electricidad exorbitantes, por lo que los piratas informáticos emprendedores siempre están buscando dinero fácil usando las computadoras de sus víctimas.

Según los investigadores, la herramienta Diicot Brute afirma que tiene la capacidad de detectar y evitar focos. A juzgar por el hecho de que fue atrapado en uno de esos entornos de prueba, parece indicar que Diicot todavía tiene trabajo por hacer.

La conexión del cryptomalware a Rumania proviene de su interfaz: Diicot Brute tiene una interfaz que se presenta en parte en rumano y en parte en inglés.

Los piratas informáticos también usan Discord para enviarles información. Esta es una ocurrencia cada vez más común, con varias otras campañas de malware en los últimos meses utilizando la infraestructura de Discord para ayudar en actividades ilegales.

La forma en que funciona el malware es que primero detecta los servidores SSH mediante el escaneo de puertos. El siguiente paso es el paso de fuerza bruta real, que se ejecuta hasta que se encuentran credenciales válidas. Finalmente, el malware se conecta usando las credenciales descifradas usando SSH y luego implementa su carga útil de criptominería.

La conclusión desalentadora del informe de seguridad sobre los piratas informáticos rumanos es que la razón por la que su herramienta funciona es simplemente "personas". Aunque la comunidad de Linux es famosa por su comportamiento obsesivo-compulsivo cuando se trata de seguridad, obviamente todavía hay muchas contraseñas débiles que permiten que funcionen kits de fuerza bruta similares.