Para grupos criminosos que promovem ataques DDos, Phishing e outros, cada host infectado é um “soldado” recrutado para trabalhar. Apenas o Grupo 8220 Gang passou de 2 mil máquinas infectadas no mundo, em meados de 2021, para 30 mil, em 18 de julho de 2022
Especialistas apontaram o impressionante aumento no número de máquinas, que usam Linux, infectadas a partir de vulnerabilidades comuns de aplicativos em nuvem e configurações mal protegidas.
“O grupo de crimeware 8220 Gang vem expandindo, sua botnet para cerca de 30 mil hosts em todo o mundo, usando o Linux e vulnerabilidades comuns de aplicativos em nuvem e configurações mal protegidas. Em uma campanha recente, o grupo usou uma nova versão do botnet IRC, minerador de criptomoedas PwnRig, e seu script de infecção genérico. No momento da redação deste artigo, em 18 de julho, cerca de 30 mil sistemas em todo o mundo já haviam sido infectados com o botnet 8220 Gang”, diz o comunicado da SentinelOne.
Os botnets são redes de computadores infectados e controlados remotamente por hackers. “Os ‘soldados’ do 8220 Gang são ‘recrutados’ entre usuários que operam aplicativos e serviços Linux vulneráveis e mal configurados.
Os especialistas ressaltam que sem o uso de inteligência artificial para prevenir, detectar, responder e caçar ataques, de forma autônoma, em todos os endpoints, contêineres, aplicativos em nuvem e dispositivos IoT, o número de infecções vai continuar a crescer.
Esses ataques usam métodos de tentativa e erro em protocolo SSH (Secure Socket Shell), específico para troca de arquivos entre usuário e servidor, pós-infecção para automatizar as tentativas de disseminação. As vítimas que usam a infraestrutura de nuvem (AWS, Azure, GCP, Aliyun, QCloud) geralmente são infectadas por meio de hosts acessíveis publicamente executando Docker, Confluence, Apache WebLogic e Redis. Sendo identificadas apenas por seu acesso à internet.
Nos últimos anos, o 8220 Gang desenvolveu scripts simples, mas eficazes, de infecção do Linux, para expandir um botnet e um minerador de criptomoedas ilícito. PwnRig, IRC Botnet e script de infecção genérico são incrivelmente simples e usados de forma oportunista na segmentação de grupos.
Informações adicionais sobre o grupo e os métodos de ataques
O 8220 Gang é um dos muitos grupos de crimeware de baixa qualificação, que vem infectando continuamente hosts de nuvem e operando um botnet para usar as vítimas como mineradores de criptomoedas. Também conhecido como 8220 Mining Group, o 8220 Gang opera há anos, e foi descoberto pela Talos em 2018. Acredita-se que seus integrantes sejam chineses.
Script de infecção de botnet na nuvem 8220
O script de infecção atua como o código principal para o botnet operar. Apesar de sua falta de evasão ou ofuscação de detecção, o script parece ser altamente eficaz em infectar alvos. Sua principal funcionalidade tem sido amplamente divulgada há vários anos, sendo reutilizada por muitos grupos amadores de mineração de criptomoedas e pessoas em busca de lucro.
As ações do script são resumidas abaixo:
1) Preparação e limpeza do host da vítima, incluindo a remoção de ferramentas comuns de segurança na nuvem;
2) Malware IRC Botnet e download/configuração de mineradores e persistência de remediação;
3) Validação e conectividade de amostra de malware Tsunami IRC Botnet;
4) Scanner SSH de rede interna com capacidade de espalhamento lateral;
5) Execução do minerador de criptomoedas PwnRig;
6) Coleta de chave SSH local, teste de conectividade e disseminação lateral.
Como o grupo opera
8220 Gang e outros grupos que fazem uso desse mesmo script de infecção podem ser observados alterando-o várias vezes por mês. No fim de junho de 2022, o grupo começou a usar um arquivo separado que eles chamam de “Spirit” para gerenciar algumas das funcionalidades de força bruta SSH fora do script. O Spirit contém uma lista de aproximadamente 450 credenciais codificadas para força bruta SSH.
Outro exemplo de evolução é o uso de listas de bloqueio
8220 Gang e outros fazem uso de listas de bloqueio no script de infecção para evitar infectar hosts específicos, como honeypots de pesquisadores, que podem colocar seus esforços ilícitos em risco.
Veja também: Relatório identifica mais de 100 aplicativos com downloads de malware em junho
Sobre a Brasiline
A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.
Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
2ª Edição do Cyber Day em Joinville: Segurança Inteligente para um Mundo Multicloud
Brasiline oferece solução para evitar ataques de phishing
