Password di Linux Brute Forces del gruppo di cryptojacking con sede in Romania
Una banda di hacker focalizzata sul cryptojacking e che si ritiene operi fuori dalla Romania sta utilizzando un nuovissimo strumento di hacking delle password a forza bruta e attacca i sistemi basati su Linux. Lo strumento del gruppo si chiama Diicot Brute e non è mai stato incontrato prima dai ricercatori di sicurezza.
Lo strumento Diicot Brute è un brute-forcer per password SSH che tenta di decifrare password deboli e mal costruite su macchine Linux. Una volta che gli hacker ottengono l'accesso, distribuiscono un cryptominer che funziona con la criptovaluta Monero.
La pratica del cryptojacking non è particolarmente nuova. Da anni gli hacker utilizzano strumenti dannosi incentrati sulla criptovaluta per ottenere profitti illegali. Il cryptojacking si riferisce a cattivi attori che distribuiscono furtivamente uno strumento di cryptomining dannoso sulla macchina di una vittima e quindi utilizzano l'hardware della vittima e risorse per estrarre la valuta che entra nel portafoglio dell'hacker.
Ovviamente, l'utilizzo dell'hardware di qualcun altro è molto più economico rispetto alla creazione di una crypto farm dedicata e al pagamento di bollette elettriche esorbitanti, quindi gli hacker intraprendenti sono sempre alla ricerca di soldi facili utilizzando i computer delle loro vittime.
Secondo i ricercatori, lo strumento Diicot Brute afferma di avere la capacità di rilevare ed evitare i focolai. A giudicare dal fatto che è stato catturato solo in uno di questi ambienti di test focolaio sembra indicare che Diicot ha ancora del lavoro da fare.
La connessione del cryptomalware alla Romania deriva dalla sua interfaccia: Diicot Brute ha un'interfaccia che viene presentata in parte in rumeno, in parte in inglese.
Gli hacker utilizzano anche Discord per segnalare loro le informazioni. Questo è un evento sempre più comune, con diverse altre campagne di malware negli ultimi mesi che utilizzano l'infrastruttura di Discord per aiutare le attività illegali.
Il modo in cui funziona il malware è che prima sniffa i server SSH utilizzando la scansione delle porte. Il prossimo è il passaggio effettivo di forzatura bruta, in esecuzione fino a quando non vengono trovate credenziali valide. Infine, il malware si connette utilizzando le credenziali craccate tramite SSH e quindi distribuisce il suo payload di cryptomining.
La conclusione scoraggiante del rapporto sulla sicurezza sugli hacker rumeni è che il motivo per cui il loro strumento funziona è semplicemente "persone". Anche se la comunità Linux è famosa per il suo comportamento ossessivo-compulsivo quando si tratta di sicurezza, ci sono ovviamente ancora molte password deboli che consentono a kit di forza bruta simili di funzionare.
