Los investigadores de la compañía de ciberseguridad Bitdefender han descubierto un grupo de hackers al cual llevan rastreando desde el pasado mes de mayo y que está ejecutando una campaña de minería de criptomonedas. Así lo han advertido en una investigación publicada en el blog de Bitdefender y en la que avisa que actualmente la campaña sigue activa.
Según indica, se trata de un grupo de atacantes que tiene probablemente su sede en Rumania, que ha estado activo desde al menos el año pasado y que es capaz de actuar a nivel mundial. En cuanto a sus objetivos, señala que ha estado apuntando a servidores Linux con credenciales débiles, principalmente para implementar malware para la minería de la criptomoneda Monero, y que su oferta también abarca ataques de denegación de servicio, DDoS.
"Los piratas informáticos que persiguen credenciales SSH débiles no son poco frecuentes. Entre los mayores problemas de seguridad se encuentran los nombres de usuario y las contraseñas predeterminadas, o las credenciales débiles que los piratas informáticos pueden superar fácilmente con técnicas de fuerza bruta. La parte complicada no es necesariamente (lograr) forzar esas credenciales, sino hacerlo de una forma que permita que los atacantes pasen desapercibidos", apunta la firma de ciberseguridad en su investigación.
Utiliza canales de Discord
A pesar de los esfuerzos de los ciberdelincuentes para cometer sus ataques, los expertos de Bitdefender señalan que lo normal es que las herramientas y los métodos que utilizan sirvan para delatarlos. En el caso de este grupo, por ejemplo, ha detectado que su actividad implica ofuscar los scripts de Bash compilándolos con un compilador de scripts de shell (shc) y utilizar canales de Discord en lugar de los servidores C2 clásicos.
"Al usar Discord, los actores de amenazas evitan la necesidad de alojar su propio servidor de comando y control, ya que los webhooks son un medio para publicar datos en el canal de Discord mediante programación. Los datos recopilados también se pueden ver cómodamente en un canal", explica la investigación, y añade: "Discord es cada vez más popular entre los actores de amenazas debido a esta funcionalidad, ya que involuntariamente brinda soporte para la distribución de malware (uso de su CDN), comando y control (webhooks) o la creación de comunidades centradas en la compra y venta de código fuente y servicios de malware (p. Ej. DDoS)".
En su investigación, la firma de ciberseguridad explica la trayectoria que han seguido sus expertos en seguridad para seguir la pista a este grupo y cómo logra infectar a sus víctimas.