Clicky

Esta red de bots en la nube ha secuestrado 30.000 sistemas para minar criptomonedas

Cripto minería

Está diseñada para eliminar las herramientas de seguridad en la nube

El grupo de criptominería 8220 se ha expandido en tamaño para abarcar hasta 30.000 hosts infectados, frente a los 2.000 hosts en todo el mundo a mediados de 2021.

"8220 Gang es una de las muchas bandas de crimeware poco calificadas que observamos continuamente que infectan hosts en la nube y operan una red de bots y mineros de criptomonedas a través de vulnerabilidades conocidas y vectores de infección de fuerza bruta de acceso remoto", dijo en un informe del lunes Tom Hegel de SentinelOne.

Se dice que el crecimiento se ha visto impulsado por el uso de Linux y vulnerabilidades comunes de aplicaciones en la nube y configuraciones poco seguras para servicios como Docker, Apache WebLogic y Redis.

Activo desde principios de 2017, el actor de amenazas de minería de Monero de habla china fue visto más recientemente apuntando a los sistemas Linux i686 y x86_64 mediante el armamento de un reciente exploit de ejecución remota de código para Atlassian Confluence Server (CVE-2022-26134) para eliminar la carga útil del minero PwnRig.

"Las víctimas no se identifican geográficamente, sino que simplemente se identifican por su acceso a Internet", señaló Hegel.

Además de ejecutar el minero de criptomonedas PwnRig, el script de infección también está diseñado para eliminar las herramientas de seguridad en la nube y llevar a cabo la fuerza bruta SSH a través de una lista de 450 credenciales codificadas para propagarse lateralmente a través de la red.

También se sabe que las versiones más nuevas del script emplean listas de bloqueo para evitar comprometer hosts específicos, como servidores trampa que podrían señalar sus esfuerzos ilícitos.

El criptominero PwnRig, que se basa en el minero de código abierto Monero XMRig, también ha recibido sus propias actualizaciones, usando un falso subdominio del FBI con una dirección IP que apunta a un dominio legítimo del gobierno federal brasileño para crear una solicitud de grupo deshonesto y ocultar el destino real del dinero generado.

El aumento de las operaciones también se considera un intento de compensar la caída de los precios de las criptomonedas, sin mencionar que subraya una "batalla" intensificada para tomar el control de los sistemas de las víctimas de los grupos centrados en el criptojacking de la competencia.

"En los últimos años, 8220 Gang ha desarrollado lentamente sus simples pero efectivos scripts de infección de Linux para expandir una red de bots y un minero de criptomonedas ilícito", concluyó Hegel. "El grupo ha realizado cambios en las últimas semanas para expandir la botnet a casi 30.000 víctimas en todo el mundo".

Jesus_Caceres