Um grupo que opera criptomineração conhecido como 8220 Gang vem explorando vulnerabilidades do Linux e de aplicativos em nuvem para aumentar o alcance de sua botnet para mais de 30 mil hosts infectados. O grupo tem infectado hosts AWS, Azure, Google Cloud, Alitun e QCloud depois de direcionar a sistemas disponíveis publicamente que executam versões vulneráveis do Docker, Redis, Confluence e Apache.
Os ataques anteriores do 8220 Gang dependiam de uma exploração disponível publicamente para comprometer os servidores do Confluence. Depois de obter acesso ao sistema, os invasores usam força bruta SSH (Secure Shell) para se espalhar ainda mais e sequestrar recursos computacionais disponíveis para executar criptomineradores que apontam para pools não rastreáveis.
A gangue está ativa desde ao menos 2017 e não é considerada particularmente sofisticada, mas a súbita explosão das infecções revela o quão perigosos e impactantes esses hackers podem ser quando se dedicam a seus objetivos.
Na última campanha, observada e analisada pelo SentinelLabs, o 8220 Gang adicionou coisas novas ao script usado para disseminar sua botnet, um código que é suficientemente furtivo, apesar da falta de mecanismos de evasão de detecção dedicados. A partir do final do mês passado, o grupo começou a usar um arquivo dedicado para o gerenciamento da etapa de força bruta SSH, que contém 450 credenciais codificadas correspondentes a uma ampla variedade de dispositivos e aplicativos Linux.
Veja isso
Cryptojacking eleva conta de nuvem a US$ 760 mil
Nova variante de criptojacking visa servidores Apache, Oracle e Redis
Outra atualização é o uso de listas de bloqueio no script para excluir hosts específicos de infecções, principalmente em relação a honeypots configurados por pesquisadores de segurança. Finalmente, o 8220 Gang agora usa uma nova versão de seu criptominerador personalizado, PwnRig, que é baseado no minerador Monero de código aberto XMRig.
Na versão mais recente do PwnRig, o minerador usa um subdomínio falso do FBI com um endereço IP apontando para um domínio do governo brasileiro para criar uma solicitação de pool falsa e ocultar o destino real do dinheiro gerado.
A queda dos preços das criptomoedas está forçando os operadores de cryptojacking a aumentar suas operações para que possam manter os mesmos lucros. A Monero, em particular, perdeu mais de 20% de seu valor nos últimos seis meses.
Espera-se que os preços cada vez menores das criptomoedas tornem o cryptojacking menos atraente para os agentes de ameaças. No entanto, continuará sendo uma fonte de receita para muitos atores de ameaças.