Grupo de Cryptojacking com Base no Romeno Senhas de Forças Brutas do Linux

Uma gangue de hackers focada em criptojacking e supostamente operada na Romênia está usando uma nova ferramenta de hack de senha de força bruta e atacando sistemas baseados em Linux. A ferramenta do grupo é chamada Diicot Brute e nunca foi encontrada antes por pesquisadores de segurança.

A ferramenta Diicot Brute é uma força bruta de senha SSH que tenta quebrar senhas fracas e mal construídas em máquinas Linux. Assim que os hackers conseguem entrar, eles implantam um criptomoeda que funciona com a criptomoeda Monero.

A prática de cryptojacking não é particularmente nova. Os hackers têm usado ferramentas maliciosas focadas em criptomoedas para obter lucro ilegal há anos. Criptojacking se refere a malfeitores implantando furtivamente uma ferramenta de criptomineração maliciosa na máquina da vítima e, em seguida, usando o hardware da vítima e recursos para extrair a moeda que vai para a carteira do hacker.

É claro que usar o hardware de outra pessoa é muito mais barato do que configurar um crypto farm dedicado e pagar contas de eletricidade exorbitantes, então hackers empreendedores estão sempre em busca de dinheiro fácil usando os computadores de suas vítimas.

Segundo os pesquisadores, a ferramenta Diicot Brute afirma ter a capacidade de detectar e evitar focos. A julgar pelo fato de que ele foi capturado em apenas um desses ambientes de teste, parece indicar que Diicot ainda tem algum trabalho a fazer.

A conexão do criptomalware com a Romênia vem de sua interface - Diicot Brute tem uma interface apresentada em parte romena e parte em inglês.

Os hackers também usam o Discord para relatar informações a eles. Esta é uma ocorrência cada vez mais comum, com várias outras campanhas de malware nos últimos meses usando a infraestrutura do Discord para ajudar em atividades ilegais.

A maneira como o malware funciona é: primeiro ele detecta os servidores SSH usando a varredura de portas. Em seguida, é a etapa de força bruta real, executando até que as credenciais válidas sejam encontradas. Finalmente, o malware se conecta usando as credenciais quebradas usando SSH e, em seguida, implanta sua carga útil de criptominação.

O resultado desanimador do relatório de segurança sobre os hackers romenos é que a razão pela qual sua ferramenta funciona é simplesmente "pessoas". Mesmo que a comunidade Linux seja famosa por seu comportamento obsessivo-compulsivo quando se trata de segurança, obviamente ainda existem muitas senhas fracas que permitem que kits de força bruta semelhantes funcionem.