Румынская группа криптоджекинга перебирает пароли Linux

Банда хакеров, специализирующихся на криптоджекинге и предположительно действующих за пределами Румынии, использует совершенно новый инструмент для взлома пароля методом подбора пароля и атакует системы на базе Linux. Инструмент группы называется Diicot Brute и никогда ранее не встречался исследователями безопасности.

Инструмент Diicot Brute - это средство перебора паролей SSH, которое пытается взломать слабые, плохо сконструированные пароли на машинах Linux. Как только хакеры получают доступ, они развертывают криптомайнер, который работает с криптовалютой Monero.

Практика криптоджекинга не нова. Хакеры уже много лет используют вредоносные инструменты, ориентированные на криптовалюту, для получения незаконной прибыли. Криптоджекинг означает, что злоумышленники незаметно развертывают вредоносный инструмент криптомайнинга на машине жертвы, а затем используют оборудование жертвы и получают ресурсы для добычи валюты, которая поступает в кошелек хакера.

Конечно, использование чужого оборудования намного дешевле, чем создание выделенной криптофермы и оплата непомерных счетов за электроэнергию, поэтому предприимчивые хакеры всегда ищут легких денег, используя компьютеры своей жертвы.

По словам исследователей, инструмент Diicot Brute утверждает, что он способен обнаруживать очаги и избегать их. Судя по тому факту, что он был обнаружен только в одном из таких очагов тестирования, похоже, это указывает на то, что Diicot еще есть над чем поработать.

Связь шифровальной программы с Румынией происходит через ее интерфейс - Diicot Brute имеет интерфейс, который частично представлен на румынском, частично на английском языке.

Хакеры также используют Discord для передачи им информации. Это становится все более распространенным явлением: за последние несколько месяцев несколько других вредоносных кампаний использовали инфраструктуру Discord для помощи в незаконных действиях.

Вредоносная программа работает так: сначала она обнюхивает серверы SSH с помощью сканирования портов. Далее идет фактический шаг перебора, который выполняется до тех пор, пока не будут найдены действительные учетные данные. Наконец, вредоносная программа подключается, используя взломанные учетные данные, используя SSH, а затем развертывает полезную нагрузку для майнинга криптовалют.

Обескураживающий итог отчета о безопасности румынских хакеров заключается в том, что причина, по которой их инструмент работает, - это просто «люди». Несмотря на то, что сообщество Linux славится своим навязчиво-компульсивным поведением, когда дело касается безопасности, очевидно, что все еще существует множество слабых паролей, которые позволяют работать подобным системам грубой силы.