El grupo de criptominería 8220 se ha expandido en tamaño para abarcar hasta 30 000 hosts infectados, frente a los 2000 hosts en todo el mundo a mediados de 2021.
«8220 Gang es una de las muchas bandas de crimeware poco calificadas que observamos continuamente que infectan hosts en la nube y operan una red de bots y mineros de criptomonedas a través de vulnerabilidades conocidas y vectores de infección de fuerza bruta de acceso remoto», dijo Tom Hegel de SentinelOne en un informe.
Se dice que el crecimiento se ha visto impulsado por el uso de Linux y vulnerabilidades comunes de aplicaciones en la nube y configuraciones poco seguras para servicios como Docker, Apache WebLogic y Redis.
Activo desde principios de 2017, el actor de amenazas de minería de Monero de habla china fue visto recientemente apuntando a los sistemas Linux i686 y x86_64 mediante el armamento de un exploit de ejecución remota de código recientemente revelado para Atlassian Confluence Server (CVE-2022-26134) para eliminar el Carga útil del minero PwnRig.
«Las víctimas no se identifican geográficamente, sino que simplemente se identifican por su acceso a Internet», señaló Hegel.
Además de ejecutar el minero de criptomonedas PwnRig, el script de infección también está diseñado para eliminar las herramientas de seguridad en la nube y llevar a cabo la fuerza bruta SSH a través de una lista de 450 credenciales codificadas para propagarse lateralmente a través de la red.
También se sabe que las versiones más nuevas del script emplean listas de bloqueo para evitar comprometer hosts específicos, como servidores trampa que podrían señalar sus esfuerzos ilícitos.
El criptominero PwnRig, que se basa en el minero Monero de código abierto XMRig, también recibió actualizaciones propias, utilizando un subdominio falso del FBI con una dirección IP que apunta a un dominio legítimo del gobierno federal brasileño para crear una solicitud de grupo no autorizado y ocultar el destino real del dinero generado.
El aumento de las operaciones también se considera un intento de compensar la caída de los precios de las criptomonedas, sin mencionar que subraya una «batalla» intensificada para tomar el control de los sistemas de las víctimas de los grupos centrados en el criptojacking de la competencia.
«En los últimos años, 8220 Gang ha desarrollado lentamente sus scripts de infección de Linux simples pero efectivos para expandir una red de bots y un minero de criptomonedas ilícito», concluyó Hegel. «El grupo ha realizado cambios en las últimas semanas para expandir la botnet a casi 30.000 víctimas en todo el mundo».
0 comentarios