In Roemenië gevestigde Cryptojacking Group Brute-Forces Linux-wachtwoorden
Een bende hackers gericht op cryptojacking en waarvan wordt aangenomen dat ze vanuit Roemenië opereren, gebruikt een gloednieuwe brute-force wachtwoordhacktool en valt Linux-gebaseerde systemen aan. De tool van de groep heet Diicot Brute en is nog nooit eerder aangetroffen door beveiligingsonderzoekers.
De Diicot Brute-tool is een SSH-wachtwoord-brute-forcer die probeert zwakke, slecht geconstrueerde wachtwoorden op Linux-machines te kraken. Zodra de hackers toegang krijgen, zetten ze een cryptominer in die werkt met de Monero-cryptocurrency.
De praktijk van cryptojacking is niet bijzonder nieuw. Hackers gebruiken al jaren kwaadaardige tools gericht op cryptocurrency om illegale winst te behalen. Cryptojacking verwijst naar criminelen die heimelijk een kwaadaardig cryptomining-tool op de computer van een slachtoffer inzetten en vervolgens de hardware en middelen van het slachtoffer gebruiken om valuta te delven die in de portemonnee van de hacker terechtkomen.
Natuurlijk is het gebruik van hardware van iemand anders veel goedkoper dan het opzetten van een speciale cryptofarm en het betalen van exorbitante elektriciteitsrekeningen, dus ondernemende hackers zijn altijd op zoek naar gemakkelijk geld met behulp van de computers van hun slachtoffer.
Volgens onderzoekers beweert de Diicot Brute-tool dat het broeinesten kan detecteren en vermijden. Afgaande op het feit dat het in slechts één zo'n broeinest-testomgeving is betrapt, lijkt het erop te wijzen dat Diicot nog wat werk te doen heeft.
De verbinding van de cryptomalware met Roemenië komt van de interface - Diicot Brute heeft een interface die deels Roemeens, deels Engels wordt gepresenteerd.
De hackers gebruiken Discord ook om informatie aan hen te rapporteren. Dit komt steeds vaker voor, met verschillende andere malwarecampagnes in de afgelopen maanden die de infrastructuur van Discord gebruikten om illegale activiteiten te helpen.
De manier waarop de malware werkt, is dat deze eerst SSH-servers opspoort met behulp van poortscanning. De volgende stap is de daadwerkelijke brute force-stap, die loopt totdat geldige inloggegevens zijn gevonden. Ten slotte maakt de malware verbinding met behulp van de gekraakte inloggegevens met behulp van SSH en zet vervolgens zijn cryptomining-payload in.
De ontmoedigende conclusie van het beveiligingsrapport over de Roemeense hackers is dat de reden waarom hun tool werkt gewoon "mensen" is. Hoewel de Linux-gemeenschap bekend staat om zijn obsessief-compulsieve gedrag als het gaat om beveiliging, zijn er natuurlijk nog steeds genoeg zwakke wachtwoorden waarmee vergelijkbare brute force-kits kunnen werken.
