Nova versão do botnet Gafgyt mira senhas SSH vulneráveis para mineração cripto com GPU
Pesquisadores de segurança cibernética identificaram uma nova variante do botnet chamado Gafgyt que ataca sistemas com senhas SSH fracas com o objetivo de minerar criptomoedas. A variante inédita usa poder de processamento de GPU de servidores comprometidos para essa finalidade.
Assaf Morag, da Aqua Security, observou que a nova botnet agora foca em servidores robustos operando em ambientes nativos de nuvem, estendendo suas ações para além de dispositivos IoT comuns, como roteadores e DVRs. O Gafgyt, também conhecido como BASHLITE, Lizkebab e Torlus, está ativo desde 2014 e é notório por utilizar credenciais fracas ou padrão e brechas de segurança em dispositivos de marcas variadas para ganhar controle.
A botnet pode realizar ataques DDoS, e há indícios de que seja operada pelo grupo de cibercriminosos Keksec, também conhecido como Kek Security e FreakOut. Evoluindo constantemente, a Gafgyt adicionou funcionalidades como o uso da rede TOR e código-fonte do Mirai. Vale ressaltar que o código-fonte do Gafgyt vazou em 2015, facilitando a criação de novas versões.
A cadeia de ataque recente inclui uma estratégia de força bruta em senhas SSH para implantar malware de mineração de criptomoedas através do “systemd-net”, após desativar quaisquer malwares concorrentes já presentes. Além disso, um módulo de propagação baseado em Go, ld-musl-x86, busca por servidores mal protegidos e dissemina o malware. As credenciais visadas pela botnet incluem SSH, Telnet e senhas relacionadas a jogos e plataformas de nuvem como AWS, Azure e Hadoop.
O agente de ameaça usa o minerador de criptomoeda XMRig para Monero, com foco na mineração utilizando as capacidades de GPU, segundo Morag. Este comportamento indica uma mudança para ataques que aproveitam fortes recursos de CPU e GPU em ambientes de nuvem, em vez de apenas conduzir ataques DDoS.
A busca pelo Shodan revelou que existem mais de 30 milhões de servidores SSH publicamente acessíveis, destacando a importância de medidas de defesa contra ataques de força bruta.
Para mais conteúdo informativo sobre cibersegurança, siga-nos no Twitter e LinkedIn. Continue acompanhando o TecMania para se manter atualizado.
