Μια συμμορία cryptomining γνωστή ως 8220 Gang, εκμεταλλεύεται ευπάθειες σε συστήματα Linux και εφαρμογές cloud, για να αναπτύξει το botnet της σε περισσότερους από 30.000 μολυσμένους κεντρικούς υπολογιστές.
Δείτε επίσης: Mantis botnet πίσω από την επίθεση DDoS που έσπασε ρεκόρ τον Ιούνιο
Η ομάδα, η οποία έχει οικονομικά κίνητρα, μολύνει τους κεντρικούς υπολογιστές AWS, Azure, GCP, Alitun και QCloud, αφού στοχεύει δημόσια διαθέσιμα συστήματα που εκτελούν ευάλωτες εκδόσεις των Docker, Redis, Confluence και Apache.
Οι προηγούμενες επιθέσεις από αυτήν τη συμμορία βασίζονταν σε μια δημόσια διαθέσιμη εκμετάλλευση για την παραβίαση των διακομιστών Confluence.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Μετά την απόκτηση πρόσβασης, οι εισβολείς χρησιμοποιούν brute forcing SSH για να εξαπλωθούν περαιτέρω και να κλέψουν διαθέσιμους υπολογιστικούς πόρους για να τρέξουν cryptominers.
Η συμμορία 8220 δραστηριοποιείται τουλάχιστον από το 2017 και δεν θεωρείται ιδιαίτερα εξελιγμένη, αλλά η ξαφνική έκρηξη στους αριθμούς μόλυνσης υπογραμμίζει πόσο επικίνδυνοι μπορούν να είναι αυτοί οι hackers χαμηλότερης βαθμίδας, όταν είναι αφοσιωμένοι στους στόχους τους.
Στην πιο πρόσφατη επιχείρησή της, που παρατηρήθηκε και αναλύθηκε από το SentinelLabs, η συμμορία 8220 πρόσθεσε νέα πράγματα στο σενάριο που χρησιμοποιείται για την επέκταση του botnet της, ένα κομμάτι κώδικα που είναι αρκετά κρυφό παρά το γεγονός ότι δεν διαθέτει ειδικούς μηχανισμούς αποφυγής εντοπισμού.
Δείτε ακόμα: Διακόπηκε η λειτουργία του ρωσικού botnet RSocks
Από τα τέλη του περασμένου μήνα, η ομάδα άρχισε να χρησιμοποιεί ένα αποκλειστικό αρχείο για τη διαχείριση του βήματος brute forcing SSH, το οποίο περιέχει 450 κωδικοποιημένα διαπιστευτήρια που αντιστοιχούν σε ένα ευρύ φάσμα συσκευών και εφαρμογών Linux.
Μια άλλη ενημέρωση είναι η χρήση λιστών αποκλεισμού στο σενάριο για τον αποκλεισμό συγκεκριμένων κεντρικών υπολογιστών από μολύνσεις, κυρίως σχετικά με honeypot που έχουν δημιουργηθεί από ερευνητές ασφαλείας.
Τέλος, η 8220 Gang χρησιμοποιεί τώρα μια νέα έκδοση του προσαρμοσμένου cryptominer της, PwnRig, η οποία βασίζεται στο ανοιχτού κώδικα Monero miner XMRig.
Στην πιο πρόσφατη έκδοση του PwnRig, ο miner χρησιμοποιεί έναν ψεύτικο υποτομέα του FBI με μια διεύθυνση IP που δείχνει σε έναν τομέα της ομοσπονδιακής κυβέρνησης της Βραζιλίας για να δημιουργήσει ένα ψεύτικο αίτημα συγκέντρωσης και να κρύψει τον πραγματικό προορισμό των χρημάτων που δημιουργούνται.
Δείτε επίσης: Το νέο Go botnet Panchan εξαπλώνεται γρήγορα στα εκπαιδευτικά δίκτυα
Η πτώση των τιμών των κρυπτονομισμάτων αναγκάζει τους παράγοντες του cryptojacking να κλιμακώσουν τις δραστηριότητές τους, ώστε να μπορούν να διατηρήσουν τα ίδια κέρδη. To Monero συγκεκριμένα, έχει χάσει πάνω από το 20% της αξίας του τους τελευταίους έξι μήνες.
Οι φθίνουσες τιμές των κρυπτονομισμάτων αναμένεται να κάνουν το cryptojacking λιγότερο δελεαστικό για τους παράγοντες απειλών. Ωστόσο, θα συνεχίσει να αποτελεί πηγή εσόδων για πολλούς κακόβουλους παράγοντες.