Rumensk-basert Cryptojacking Group Brute-Forces Linux-passord

En gjeng hackere som fokuserte på cryptojacking og antas å operere ut av Romania, bruker et splitter nytt verktøy for brutt-force passordhack og angriper Linux-baserte systemer. Gruppens verktøy heter Diicot Brute og har aldri vært oppdaget av sikkerhetsforskere.

Diicot Brute-verktøyet er en SSH-passord-brute-forcer som prøver å knekke svake, dårlig konstruerte passord på Linux-maskiner. Når hackerne får adgang, distribuerer de en cryptominer som fungerer med Monero-kryptovalutaen.

Praksisen med cryptojacking er ikke spesielt ny. Hackere har brukt ondsinnede verktøy fokusert på kryptokurrency for å oppnå ulovlig fortjeneste i mange år nå. Cryptojacking refererer til dårlige skuespillere som skjult bruker et ondsinnet kryptomineringsverktøy på offerets maskin og deretter bruker offerets maskinvare og får ressurser til å utvinne valutaen som går inn i hackers lommebok.

Selvfølgelig er det mye billigere å bruke andres maskinvare enn å sette opp en dedikert kryptogård og betale ublu strømregninger, så driftige hackere er alltid på utkikk etter enkle penger ved hjelp av offerets datamaskiner.

Ifølge forskere hevder Diicot Brute-verktøyet at det har evnen til å oppdage og unngå hotbeds. Å dømme etter det faktum at den ble fanget i bare et slikt testmiljø for badesteder, ser ut til å indikere at Diicot fortsatt har noe arbeid å gjøre.

Kryptomalwarens forbindelse til Romania kommer fra grensesnittet - Diicot Brute har et grensesnitt som presenteres delvis rumensk, delvis engelsk.

Hackerne bruker også Discord for å rapportere informasjon tilbake til dem. Dette er en stadig mer vanlig forekomst, med flere andre skadelige kampanjer de siste månedene som bruker Discords infrastruktur for å hjelpe ulovlige aktiviteter.

Måten skadelig programvare fungerer på er at den først snuser ut SSH-servere ved hjelp av portskanning. Neste opp er det faktiske brute tvangstrinnet, som kjører til gyldige legitimasjon er funnet. Til slutt kobler skadelig programvare til ved hjelp av sprakk legitimasjon ved hjelp av SSH og distribuerer deretter sin kryptominerende nyttelast.

Den nedslående bunnlinjen fra sikkerhetsrapporten om de rumenske hackerne er at grunnen til at verktøyet deres fungerer, bare er "mennesker". Selv om Linux-fellesskapet er kjent for sin tvangsmessige tvangsmessige oppførsel når det gjelder sikkerhet, er det åpenbart fortsatt mange svake passord som lar lignende brute force-sett fungere.