Servidores Linux SSH mal protegidos estão sendo alvo de agentes maliciosos para instalar scanners de porta e ferramentas de ataque de dicionário com o objetivo de atingir outros servidores vulneráveis e cooptá-los para uma rede para realizar mineração de criptomoedas e ataques distribuídos de negação de serviço (DDoS).
"Os atores de ameaças também podem optar por instalar apenas scanners e vender a credencial de IP e conta violada na Dark Web", disse o AhnLab Security Emergency Response Center (ASEC) em um relatório na terça-feira.
Nesses ataques, os adversários tentam adivinhar as credenciais SSH do servidor executando uma lista de combinações comumente usadas de nomes de usuário e senhas, uma técnica chamada de ataque de dicionário.
Caso a tentativa de força bruta seja bem-sucedida, é seguida pelo ator de ameaças implementando outro malware, incluindo scanners, para buscar outros sistemas suscetíveis na Internet.
Especificamente, o scanner é projetado para procurar sistemas em que a porta 22 - associada ao serviço SSH - está ativa e, em seguida, repete o processo de realizar um ataque de dicionário para instalar o malware, propagando efetivamente a infecção.
Outro aspecto notável do ataque é a execução de comandos como "grep -c ^processor /proc/cpuinfo" para determinar o número de núcleos da CPU.
"Essas ferramentas são acreditadas terem sido criadas pela equipe PRG old Team, e cada ator de ameaças os modifica levemente antes de usá-los em ataques", disse o ASEC, acrescentando que há evidências de tal software malicioso sendo usado desde 2021.
Para mitigar os riscos associados a esses ataques, recomenda-se que os usuários usem senhas que sejam difíceis de adivinhar, rotacionem-nas periodicamente e mantenham seus sistemas atualizados.
Os resultados chegam quando a Kaspersky revelou que uma nova ameaça multiplataforma chamada NKAbuse está utilizando um protocolo de conectividade de rede peer-to-peer descentralizado conhecido como NKN (abreviação de New Kind of Network) como um canal de comunicação para ataques DDoS.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...