Artigo - Grupo cibercriminoso amplia em 1500% o número de seus integrantes
Para grupos criminosos que promovem ataques DDos, Phishing e outros, cada host infectado é um “soldado” recrutado para trabalhar. Apenas o Grupo 8220 Gang passou de 2 mil máquinas infectadas no mundo, em meados de 2021, para 30 mil, em 18 de julho de 2022
A CLM alerta como vulnerabilidades conhecidas vêm sendo exploradas continuamente, com sucesso, por grupos hackers pouco sofisticados. Nesta segunda-feira (18), a SentinelOne comunicou o impressionante aumento no número de máquinas, que usam Linux, infectadas a partir de vulnerabilidades comuns de aplicativos em nuvem e configurações mal protegidas.
“O grupo de crimeware 8220 Gang vem expandindo, sua botnet para cerca de 30 mil hosts em todo o mundo, usando o Linux e vulnerabilidades comuns de aplicativos em nuvem e configurações mal protegidas. Em uma campanha recente, o grupo usou uma nova versão do botnet IRC, minerador de criptomoedas PwnRig, e seu script de infecção genérico. No momento da redação deste artigo, em 18 de julho, cerca de 30 mil sistemas em todo o mundo já haviam sido infectados com o botnet 8220 Gang”, diz o comunicado da SentinelOne.
Tom Camargo, VP da CLM, explica que os botnets são redes de computadores infectados e controlados remotamente por hackers. “Os ‘soldados’ do 8220 Gang são ‘recrutados’ entre usuários que operam aplicativos e serviços Linux vulneráveis e mal configurados”.
Camargo ressalta que sem o uso de inteligência artificial para prevenir, detectar, responder e caçar ataques, de forma autônoma, em todos os endpoints, contêineres, aplicativos em nuvem e dispositivos IoT, o número de infecções vai continuar a crescer. “Vemos neste caso como vulnerabilidades conhecidas ainda são exploradas e com êxito por grupos de cibercriminosos não muito especializados. As 30 mil infecções foram conseguidas com métodos de força bruta, ou seja, tentativa e erro”, comenta.
Esses ataques usam métodos de tentativa e erro em protocolo SSH (Secure Socket Shell), específico para troca de arquivos entre usuário e servidor, pós-infecção para automatizar as tentativas de disseminação. As vítimas que usam a infraestrutura de nuvem (AWS, Azure, GCP, Aliyun, QCloud) geralmente são infectadas por meio de hosts acessíveis publicamente executando Docker, Confluence, Apache WebLogic e Redis. Sendo identificadas apenas por seu acesso à internet.
Nos últimos anos, o 8220 Gang desenvolveu scripts simples, mas eficazes, de infecção do Linux, para expandir um botnet e um minerador de criptomoedas ilícito. PwnRig, IRC Botnet e script de infecção genérico são incrivelmente simples e usados de forma oportunista na segmentação de grupos.
Informações adicionais sobre o grupo e os métodos de recentes ataques
O 8220 Gang é um dos muitos grupos de crimeware de baixa qualificação, que vem infectando continuamente hosts de nuvem e operando um botnet para usar as vítimas como mineradores de criptomoedas. Também conhecido como 8220 Mining Group, o 8220 Gang opera há anos, e foi descoberto pela Talos em 2018. Acredita-se que seus integrantes sejam chineses.
Script de infecção de botnet na nuvem 8220
O script de infecção atua como o código principal para o botnet operar. Apesar de sua falta de evasão ou ofuscação de detecção, o script parece ser altamente eficaz em infectar alvos. Sua principal funcionalidade tem sido amplamente divulgada há vários anos, sendo reutilizada por muitos grupos amadores de mineração de criptomoedas e pessoas em busca de lucro. “Por esse motivo, os pesquisadores devem ter cuidado ao atribuir o script em sua totalidade ao 8220 Gang”, avalia a SentinelOne.
A SentinelOne resume as ações do script, descrevendo-o como notoriamente feio e com funções não utilizadas ou desatualizadas, o que permite o rastreamento trivial ao longo do tempo.
1) Preparação e limpeza do host da vítima, incluindo a remoção de ferramentas comuns de segurança na nuvem
2) Malware IRC Botnet e download/configuração de mineradores e persistência de remediação
3) Validação e conectividade de amostra de malware Tsunami IRC Botnet
4) Scanner SSH de rede interna com capacidade de espalhamento lateral
5) Execução do minerador de criptomoedas PwnRig
6) Coleta de chave SSH local, teste de conectividade e disseminação lateral.
Como o grupo opera
8220 Gang e outros grupos que fazem uso desse mesmo script de infecção podem ser observados alterando-o várias vezes por mês. A SentinelOne informa que, no fim de junho de 2022, o grupo começou a usar um arquivo separado que eles chamam de “Spirit” para gerenciar algumas das funcionalidades de força bruta SSH fora do script. O Spirit contém uma lista de aproximadamente 450 credenciais codificadas para força bruta SSH. A lista inclui combinações do nome de usuário e senhas padrão de dispositivo e aplicativo Linux.
Outro exemplo de evolução é o uso de listas de bloqueio. 8220 Gang e outros fazem uso de listas de bloqueio no script de infecção para evitar infectar hosts específicos, como honeypots de pesquisadores, que podem colocar seus esforços ilícitos em risco. Ao analisar o comportamento do grupo, a SentinelOne detectou que o método de implementação da lista de bloqueio mudou de IPs diretos listados no script para uma lista em um arquivo adicional baixado. O método de chamar a lista no script varia entre as implementações.
“O que podemos concluir é que o projeto trivial do script permite a experimentação simples do invasor e não deve surpreender os pesquisadores quando uma funcionalidade específica é adicionada ou reorganizada”, diz a SentinelOne.
Atualização do Minerador PwnRig
O PwnRig é uma versão personalizada do minerador XMRig de código aberto que ganhou seu nome com base nas strings que o autor usava em suas primeiras versões. Versões mais recentes do PwnRig continuam usando o mesmo nome do autor, enquanto algumas funcionalidades do minerador foram atualizadas.
Um dos recursos notáveis do PwnRig é a solicitação de pool falso para domínios governamentais. Camargo explica que em um pool request verdadeiro, a alteração no código de um repositório proposta é compartilhada com seus mantenedores (quem têm permissão de escrita), que podem revisá-la antes de aprovar e incorporar a alteração.
As versões do início de 2021 usavam fbi.gov; no entanto, a versão mais recente usa fbi.gov.br e 161.148.164.31. Embora o subdomínio do FBI não seja real, o endereço IP é o IP ativo que hospeda o domínio gov.br – o verdadeiro domínio do governo federal brasileiro.
fonte: https://www.securityreport.com.br/overview/grupo-cibercriminoso-amplia-em-1500-o-numero-de-seus-integrantes
Texto: