Le groupe de cryptominage 8220 s’est élargi pour englober jusqu’à 30 000 hôtes infectés, contre 2 000 hôtes dans le monde à la mi-2021. « 8220 Gang est l’un des nombreux gangs de logiciels criminels peu qualifiés que nous observons continuellement infecter les hôtes cloud et exploiter un botnet et des mineurs de crypto-monnaie via des vulnérabilités connues et des vecteurs d’infection par forçage brutal d’accès à distance », a déclaré Tom Hegel de SentinelOne dans un rapport de lundi. La croissance aurait été alimentée par l’utilisation de Linux et des vulnérabilités des applications cloud courantes et des configurations mal sécurisées pour des services tels que Docker, Apache WebLogic et Redis. Actif depuis début 2017, l’acteur chinois de la menace minière Monero a été vu plus récemment ciblant les systèmes Linux i686 et x86_64 en militarisant un récent exploit d’exécution de code à distance pour Atlassian Confluence Server (CVE-2022-26134) pour supprimer le PwnRig charge utile de mineur. « Les victimes ne sont pas ciblées géographiquement, mais simplement identifiées par leur accessibilité à Internet », a souligné Hegel.

Outre l’exécution du mineur de crypto-monnaie PwnRig, le script d’infection est également conçu pour supprimer les outils de sécurité cloud et effectuer un forçage brutal SSH via une liste de 450 informations d’identification codées en dur pour se propager latéralement sur le réseau. Les nouvelles versions du script sont également connues pour utiliser des listes de blocage pour éviter de compromettre des hôtes spécifiques, tels que des serveurs de pot de miel qui pourraient signaler leurs efforts illicites. Le cryptomineur PwnRig, qui est basé sur le mineur open source Monero XMRig, a également reçu ses propres mises à jour, en utilisant un faux sous-domaine du FBI avec une adresse IP pointant vers un domaine légitime du gouvernement fédéral brésilien pour créer une demande de pool escroc et obscurcir le destination réelle de l’argent généré. La montée en puissance des opérations est également considérée comme une tentative de compenser la chute des prix des crypto-monnaies, sans parler de souligner une « bataille » accrue pour prendre le contrôle des systèmes victimes des groupes concurrents axés sur le cryptojacking. « Au cours des dernières années, 8220 Gang a lentement fait évoluer ses scripts d’infection Linux simples mais efficaces pour développer un botnet et un mineur de crypto-monnaie illicite », a conclu Hegel. « Le groupe a apporté des changements au cours des dernières semaines pour étendre le botnet à près de 30 000 victimes dans le monde. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *