Grupo 8220 Gang, formado por hackers, amplia em 1500% o número de seus “soldados”
Para grupos criminosos
que promovem ataques DDos, Phishing e outros, cada host infectado é um
“soldado” recrutado para trabalhar. Quanto mais “soldados”, mais poderoso é o
grupo. Apenas o Grupo 8220 Gang passou de 2 mil máquinas infectadas no mundo,
em meados de 2021, para 30 mil, em 18 de julho de 2022
A
CLM, distribuidor latino-americano de valor agregado com foco em segurança da
informação, proteção de dados, infraestrutura para data centers e cloud, alerta
como vulnerabilidades conhecidas vêm sendo exploradas continuamente, com
sucesso, por grupos hackers pouco sofisticados. Nesta segunda-feira (18), a
SentinelOne, única no mundo com soluções de cibersegurança, baseadas em IA, que
incluem prevenção, detecção, resposta e caça a ataques, comunicou o
impressionante aumento no número de máquinas, que usam Linux, infectadas a
partir de vulnerabilidades comuns de aplicativos em nuvem e configurações mal
protegidas.
“O
grupo de crimeware 8220 Gang vem expandindo, sua botnet para cerca de 30 mil
hosts em todo o mundo, usando o Linux e vulnerabilidades comuns de aplicativos
em nuvem e configurações mal protegidas. Em uma campanha recente, o grupo usou
uma nova versão do botnet IRC, minerador de criptomoedas PwnRig, e seu script
de infecção genérico. No momento da redação deste artigo, em 18 de julho, cerca
de 30 mil sistemas em todo o mundo já haviam sido infectados com o botnet 8220
Gang”, diz o comunicado da SentinelOne.
Tom
Camargo, VP da CLM, que distribui as soluções da SentinelOne, explica que os
botnets são redes de computadores infectados e controlados remotamente por
hackers. “Os ‘soldados’ do 8220 Gang são ‘recrutados’ entre usuários que operam
aplicativos e serviços Linux vulneráveis e mal configurados”.
Camargo
ressalta que sem o uso de inteligência artificial para prevenir, detectar,
responder e caçar ataques, de forma autônoma, em todos os endpoints,
contêineres, aplicativos em nuvem e dispositivos IoT, o número de infecções vai
continuar a crescer. “Vemos neste caso como vulnerabilidades conhecidas ainda
são exploradas e com êxito por grupos de cibercriminosos não muito
especializados. As 30 mil infecções foram conseguidas com métodos de força
bruta, ou seja, tentativa e erro”, comenta.
Esses
ataques usam métodos de tentativa e erro em protocolo SSH (Secure Socket
Shell), específico para troca de arquivos entre usuário e servidor,
pós-infecção para automatizar as tentativas de disseminação. As vítimas que
usam a infraestrutura de nuvem (AWS, Azure, GCP, Aliyun, QCloud) geralmente são
infectadas por meio de hosts acessíveis publicamente executando Docker,
Confluence, Apache WebLogic e Redis. Sendo identificadas apenas por seu acesso
à internet.
Nos
últimos anos, o 8220 Gang desenvolveu scripts simples, mas eficazes, de
infecção do Linux, para expandir um botnet e um minerador de criptomoedas ilícito.
PwnRig, IRC Botnet e script de infecção genérico são incrivelmente simples e
usados de forma oportunista na segmentação de grupos.
Informações
adicionais sobre o grupo e os métodos de recentes ataques
O
8220 Gang é um dos muitos grupos de crimeware de baixa qualificação, que vem
infectando continuamente hosts de nuvem e operando um botnet para usar as
vítimas como mineradores de criptomoedas. Também conhecido como 8220 Mining
Group, o 8220 Gang opera há anos, e foi descoberto pela Talos em 2018. Acredita-se
que seus integrantes sejam chineses.
Script
de infecção de botnet na nuvem 8220
O
script de infecção atua como o código principal para o botnet operar. Apesar de
sua falta de evasão ou ofuscação de detecção, o script parece ser altamente
eficaz em infectar alvos. Sua principal funcionalidade tem sido amplamente
divulgada há vários anos, sendo reutilizada por muitos grupos amadores de
mineração de criptomoedas e pessoas em busca de lucro. “Por esse motivo, os
pesquisadores devem ter cuidado ao atribuir o script em sua totalidade ao 8220
Gang”, avalia a SentinelOne.
A
SentinelOne resume as ações do script, descrevendo-o como notoriamente feio e
com funções não utilizadas ou desatualizadas, o que permite o rastreamento
trivial ao longo do tempo.
1.
Preparação e limpeza do host da vítima, incluindo a remoção de ferramentas
comuns de segurança na nuvem
2.
Malware IRC Botnet e download/configuração de mineradores e persistência de
remediação
3.
Validação e conectividade de amostra de malware Tsunami IRC Botnet
4.
Scanner SSH de rede interna com capacidade de espalhamento lateral
5.
Execução do minerador de criptomoedas PwnRig
6. Coleta de chave SSH local,
teste de conectividade e disseminação lateral.
Como
o grupo opera
8220
Gang e outros grupos que fazem uso desse mesmo script de infecção podem ser
observados alterando-o várias vezes por mês. A SentinelOne informa que, no fim
de junho de 2022, o grupo começou a usar um arquivo separado que eles chamam de
“Spirit” para gerenciar algumas das funcionalidades de força bruta SSH fora do
script. O Spirit contém uma lista de aproximadamente 450 credenciais
codificadas para força bruta SSH. A lista inclui combinações do nome de usuário
e senhas padrão de dispositivo e aplicativo Linux.
Outro
exemplo de evolução é o uso de listas de bloqueio. 8220 Gang e outros fazem uso
de listas de bloqueio no script de infecção para evitar infectar hosts
específicos, como honeypots de pesquisadores, que podem colocar seus esforços
ilícitos em risco. Ao analisar o comportamento do grupo, a SentinelOne detectou
que o método de implementação da lista de bloqueio mudou de IPs diretos
listados no script para uma lista em um arquivo adicional baixado. O método de
chamar a lista no script varia entre as implementações.
“O
que podemos concluir é que o projeto trivial do script permite a experimentação
simples do invasor e não deve surpreender os pesquisadores quando uma
funcionalidade específica é adicionada ou reorganizada”, diz a SentinelOne.
Atualização
do Minerador PwnRig
O
PwnRig é uma versão personalizada do minerador XMRig de código aberto que
ganhou seu nome com base nas strings que o autor usava em suas primeiras
versões. Versões mais recentes do PwnRig continuam usando o mesmo nome do autor,
enquanto algumas funcionalidades do minerador foram atualizadas.
Um
dos recursos notáveis do PwnRig é a solicitação de pool falso para domínios
governamentais. Camargo explica que em um pool request verdadeiro, a alteração
no código de um repositório proposta é compartilhada com seus mantenedores
(quem têm permissão de escrita), que podem revisá-la antes de aprovar e
incorporar a alteração.
As
versões do início de 2021 usavam fbi.gov; no entanto, a versão mais recente usa
fbi.gov.br e 161.148.164.31. Embora o subdomínio do FBI não seja real, o
endereço IP é o IP ativo que hospeda o domínio gov.br – o verdadeiro domínio do
governo federal brasileiro.
Sobre
a CLM
CLM é
um distribuidor latino-americano, de valor agregado, com foco em segurança da
informação, proteção de dados, infraestrutura para data centers e cloud. A
empresa recebeu recentemente três prêmios: o de melhor distribuidor da América
Latina pela Nutanix, prêmio conquistado pela qualidade e agilidade nos serviços
prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner oferecido à
empresa que mais se destacou pelo crescimento das vendas; e o Infor Channel
Distribution Excellence, uma conquista que se deve ao compromisso da CLM com a
excelência e busca incansável de fornecer as melhores soluções e serviços aos
parceiros de negócios.
Com
sede em São Paulo, a empresa possui coligadas nos EUA, Colômbia, Peru e Chile.
Com extensa rede de VARs na América Latina e enorme experiência no mercado, a
CLM está constantemente em busca de soluções inovadoras e disruptivas para
fornecer cada vez mais valor para seus canais e seus clientes.
Sobre
a SentinelOne
A SentinelOne é a única solução de segurança cibernética que abrange prevenção, detecção, resposta e caça a ataques com base em IA, em endpoints, contêineres, cargas de trabalho em Nuvem e dispositivos IoT em uma única plataforma XDR autônoma. Com o SentinelOne, as organizações conseguem total transparência em tudo o que está acontecendo na rede, na velocidade da máquina - para derrotar todos os ataques, em todas as fases do ciclo de vida da ameaça. Para saber mais, visite www.sentinelone.com ou siga a empresa em @SentinelOne, no LinkedIn ou Facebook.
Nenhum comentário