Pesquisadores de cibersegurança descobriram uma nova variante do botnet Gafgyt que visa máquinas com senhas SSH fracas para, em última instância, minerar criptomoedas em instâncias comprometidas usando o poder computacional de suas GPUs.
Isso indica que o "botnet IoT está mirando em servidores mais robustos operando em ambientes nativos da nuvem," disse o pesquisador da Aqua Security, Assaf Morag, em uma análise de quarta-feira.
Gafgyt (também conhecido como BASHLITE, Lizkebab e Torlus), conhecido por estar ativo desde 2014, tem um histórico de explorar credenciais fracas ou padrão para ganhar controle de dispositivos como roteadores, câmeras e gravadores de vídeo digital (DVRs).
Ele também é capaz de aproveitar falhas de segurança conhecidas em dispositivos Dasan, Huawei, Realtek, SonicWall e Zyxel.
Os dispositivos infectados são agrupados em um botnet capaz de lançar ataques de negação de serviço distribuído (DDoS) contra alvos de interesse.
Há evidências que sugerem que Gafgyt e Necro são operados por um grupo de ameaças chamado Keksec, que também é rastreado como Kek Security e FreakOut.
Botnets IoT como Gafgyt estão constantemente evoluindo para adicionar novas funções, com variantes detectadas em 2021 usando a rede TOR para ocultar a atividade maliciosa, bem como emprestar alguns módulos do código-fonte Mirai vazado.
Vale ressaltar que o código-fonte do Gafgyt foi vazado online no início de 2015, alimentando ainda mais o surgimento de novas versões e adaptações.
As cadeias de ataque mais recentes envolvem o ataque de força bruta a servidores SSH com senhas fracas para implantar payloads de próxima etapa para facilitar um ataque de mineração de criptomoedas usando "systemd-net", mas não antes de encerrar malwares concorrentes já em execução no host comprometido.
Ele também executa um módulo de propagação, um scanner SSH baseado em Go chamado ld-musl-x86, que é responsável por vasculhar a internet em busca de servidores mal protegidos e propagar o malware para outros sistemas, expandindo efetivamente a escala do botnet.
Isso inclui SSH, Telnet e credenciais relacionadas a servidores de jogos e ambientes de nuvem como AWS, Azure e Hadoop.
"O minerador de criptomoedas em uso é o XMRig, um minerador da criptomoeda Monero," disse Morag.
"No entanto, neste caso, o ator de ameaça busca executar um minerador de criptomoedas usando as flags --opencl e --cuda, que aproveitam o poder computacional da GPU e da Nvidia GPU." "Isso, combinado com o fato de que o principal impacto do ator de ameaça é a mineração de criptomoedas em vez de ataques DDoS, suporta nossa afirmação de que esta variante difere das anteriores.
Ela visa atingir ambientes nativos da nuvem com fortes capacidades de CPU e GPU." Dados coletados por meio de consultas ao Shodan mostram que existem mais de 30 milhões de servidores SSH acessíveis publicamente, tornando essencial que os usuários tomem medidas para proteger as instâncias contra ataques de força bruta e exploração potencial.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...