Rumänska-baserade Cryptojacking Group Brute-Forces Linux-lösenord

Ett gäng hackare som fokuserade på cryptojacking och tros fungera från Rumänien använder ett helt nytt lösenordshackverktyg för lösenord och attackerar Linux-baserade system. Gruppens verktyg heter Diicot Brute och har aldrig stött på tidigare av säkerhetsforskare.

Diicot Brute-verktyget är en SSH-lösenordsbrute-forcer som försöker knäcka svaga, dåligt konstruerade lösenord på Linux-maskiner. När hackarna får inträde, distribuerar de en cryptominer som fungerar med Monero-kryptovalutan.

Kryptojacking är inte särskilt nytt. Hackare har använt skadliga verktyg med fokus på kryptovaluta för att få olaglig vinst i flera år nu. Cryptojacking hänvisar till dåliga skådespelare som smygande använder ett skadligt kryptominingverktyg på offrets maskin och sedan använder offrets hårdvara och resurser för att bryta valuta som går in i hackarens plånbok.

Naturligtvis är det mycket billigare att använda någon annans hårdvara än att skapa en dedikerad kryptogård och betala orimliga elräkningar, så företagande hackare är alltid på jakt efter enkla pengar med sitt offrets datorer.

Enligt forskare hävdar Diicot Brute-verktyget att det har förmågan att upptäcka och undvika hotbeds. Att döma av det faktum att den fångades i bara en sådan hotbed-testmiljö verkar tyda på att Diicot fortfarande har lite arbete att göra.

Kryptomalwarens anslutning till Rumänien kommer från dess gränssnitt - Diicot Brute har ett gränssnitt som presenteras delvis rumänskt, delvis engelska.

Hackarna använder också Discord för att rapportera information tillbaka till dem. Detta är en allt vanligare händelse, med flera andra skadliga kampanjer under de senaste månaderna som använder Discords infrastruktur för att hjälpa olagliga aktiviteter.

Det sätt som skadlig programvara fungerar är att det först sniffar ut SSH-servrar med hjälp av portskanning. Därefter är det faktiska brute-tvångssteget som körs tills giltiga referenser hittas. Slutligen ansluter skadlig programvara med hjälp av krackade referenser med hjälp av SSH och distribuerar sedan sin kryptomining-nyttolast.

Den nedslående raden från säkerhetsrapporten om de rumänska hackarna är att anledningen till att deras verktyg fungerar helt enkelt är "människor". Även om Linux-communityn är känd för sitt tvångsmässiga beteende när det gäller säkerhet finns det uppenbarligen fortfarande många svaga lösenord som gör att liknande brute force-kit fungerar.