Groupe de cryptojacking basé en Roumanie Brute-Forces Mots de passe Linux
Un gang de pirates axé sur le cryptojacking et censé opérer depuis la Roumanie utilise un tout nouvel outil de piratage de mot de passe par force brute et attaque les systèmes basés sur Linux. L'outil du groupe s'appelle Diicot Brute et n'a jamais été rencontré auparavant par les chercheurs en sécurité.
L'outil Diicot Brute est un forceur de mot de passe SSH qui tente de déchiffrer les mots de passe faibles et mal construits sur les machines Linux. Une fois que les pirates sont entrés, ils déploient un cryptomineur qui fonctionne avec la crypto-monnaie Monero.
La pratique du cryptojacking n'est pas particulièrement nouvelle. Depuis des années, les pirates informatiques utilisent des outils malveillants axés sur la crypto-monnaie pour obtenir des profits illégaux. Le cryptojacking fait référence aux mauvais acteurs déployant furtivement un outil de cryptominage malveillant sur la machine d'une victime, puis utilisant le matériel de la victime et disposant de ressources pour extraire la monnaie qui entre dans le portefeuille du pirate informatique.
Bien sûr, utiliser le matériel de quelqu'un d'autre est beaucoup moins cher que de créer une ferme de cryptographie dédiée et de payer des factures d'électricité exorbitantes, de sorte que les pirates informatiques entreprenants sont toujours à la recherche d'argent facile en utilisant les ordinateurs de leurs victimes.
Selon les chercheurs, l'outil Diicot Brute prétend avoir la capacité de détecter et d'éviter les foyers. À en juger par le fait qu'il n'a été pris que dans un seul de ces environnements de test, cela semble indiquer que Diicot a encore du travail à faire.
La connexion du cryptomalware à la Roumanie vient de son interface - Diicot Brute a une interface qui est présentée en partie en roumain, en partie en anglais.
Les pirates utilisent également Discord pour leur rapporter des informations. C'est un phénomène de plus en plus courant, avec plusieurs autres campagnes de logiciels malveillants au cours des derniers mois utilisant l'infrastructure de Discord pour aider les activités illégales.
La façon dont le malware fonctionne est qu'il détecte d'abord les serveurs SSH à l'aide de l'analyse des ports. La prochaine étape est l'étape de forçage brutal, qui s'exécute jusqu'à ce que des informations d'identification valides soient trouvées. Enfin, le malware se connecte à l'aide des informations d'identification craquées à l'aide de SSH, puis déploie sa charge utile de cryptomining.
Le résultat décourageant du rapport de sécurité sur les pirates informatiques roumains est que la raison pour laquelle leur outil fonctionne est simplement "les gens". Même si la communauté Linux est célèbre pour son comportement obsessionnel-compulsif en matière de sécurité, il existe évidemment encore de nombreux mots de passe faibles qui permettent à des kits de force brute similaires de fonctionner.
