Para los grupos criminales que promueven DDoS, Phishing y otros, cada anfitrión infectado es un «soldado» reclutado para trabajar. Solo la pandilla del Grupo 8220 pasó de 2.000 máquinas infectadas en el mundo a mediados de 2021 a 30.000 el 18 de julio de 2022
El CLM, un distribuidor latinoamericano de valor agregado que se centra en la seguridad de la información, advierte cómo las vulnerabilidades conocidas han sido explotadas continuamente, con éxito, por hackers mal sofisticados. El lunes (18), SentinelOne informó el impresionante aumento en el número de máquinas, que usan Linux, infectado con vulnerabilidades comunes de aplicaciones en la nube y configuraciones mal protegidas.
“El grupo de crimeware 8220 se ha expandido su botnet a aproximadamente 30.000 hosts en todo el mundo, utilizando Linux y vulnerabilidades comunes de aplicaciones en la nube y configuraciones mal protegidas. En una campaña reciente, el grupo utilizó una nueva versión de botnet IRC, minero de criptomonedas PwnRig y su script genérico de infección. En el momento de escribir este artículo, el 18 de julio, alrededor de 30.000 sistemas en todo el mundo ya habían sido infectados con el botnet 8220 Gang”, dice la declaración de SentinelOne.
Tom Camargo, VP del CLM, explica que las botnets son redes de computadoras infectadas y controladas de forma remota por hackers. «Los ‘soldados’ de 8220 Gang son ‘reclutados’ entre los usuarios que operan aplicaciones y servicios de Linux vulnerables y mal configurados».
Camargo señala que sin el uso de inteligencia artificial para prevenir, detectar, responder y rastrear ataques, de forma autónoma, en todos los endpoints, contenedores, aplicaciones en la nube y dispositivos IoT, el número de infecciones continuará creciendo. “En este caso, vemos que las vulnerabilidades conocidas aún son explotadas y con éxito por grupos de cibercriminales no muy especializados. Las 30,000 infecciones se lograron con métodos de fuerza bruta, es decir, intento y error”, comenta.
Estos ataques utilizan métodos de protocolo SSH (Secure Socket Shell), específicos para el intercambio de archivos entre el usuario y el servidor, después de la infección para automatizar los intentos de difusión. Las víctimas que usan infraestructura en la nube (AWS, Azure, GCP, Aliyun, QCloud) generalmente están infectadas con hosts de acceso público que realizan Docker, Confluence, Apache Weblogic y Redis. Siendo identificado solo por su acceso a Internet.
En los últimos años, la pandilla 8220 ha desarrollado guiones simples, pero efectivos de infección de Linux para expandir una botnet y un minero de criptomonedas ilícito. PwnRig, IRC Botnet y script de infección genérica son increíblemente simples y se usan de manera oportunista en la segmentación grupal.
Información adicional sobre el grupo y los métodos de ataques recientes
El 8220 Gang es uno de los muchos grupos de crimeware de baja calificación, que ha infectado continuamente hosts en la nube y operando una botnet para usar víctimas como mineros de criptomonedas. También conocido como 8220 Mining Group, el 8220 Gang, operó durante años, y fue descubierto por tallos en 2018. Se cree que sus miembros son chinos.
Script de infección de botnet en la nube 8220
El script de infección actúa como el código principal para que botnet funcione. A pesar de su falta de evasión o detección de ensayos, el guión parece ser altamente efectivo para infectar objetivos. Su funcionalidad principal ha sido ampliamente lanzada durante varios años, siendo reutilizado por muchos grupos de minería de criptomonedas aficionadas y personas que buscan ganancias. «Por esta razón, los investigadores deben tener cuidado al asignar el guión en su totalidad a el Gang 8220», dice SentinelOne.
SentinelOne resume las acciones del guión, describiéndolo como notoriamente feo y con funciones no utilizadas o obsoletas, lo que permite el seguimiento trivial con el tiempo.
1) Preparación y limpieza del host de la víctima, incluida la eliminación de herramientas comunes de seguridad en la nube;
2) Malware IRC botnet y descargar/configuración de mineros y persistencia de remediación;
3) Validación y conectividad de la muestra de malware Tsunami IRC botnet;
4) Escáner SSH de red interna con capacidad de extensión lateral;
5) Ejecución del minero de criptomonedas Pnwnrig;
6) Recopilación de claves SSH locales, prueba de conectividad y propagación lateral.
Cómo funciona el grupo
El Gang 8220 y otros grupos que usan este mismo script de infección se pueden observar cambiándolo varias veces al mes. Sentinelone informa que a fines de junio de 2022, el grupo comenzó a usar un archivo separado que llaman «espíritu» para administrar algunas de las características de fuerza bruta SSH fuera del script. El espíritu contiene una lista de aproximadamente 450 credenciales codificadas con bruto SSH. La lista incluye combinaciones de nombre de usuario y contraseñas estándar de dispositivos y aplicaciones de Linux.
Otro ejemplo de evolución es el uso de listas de bloqueo. Gang 8220 y otros utilizan listas de bloqueo de guiones de infección para evitar infectar anfitriones específicos como honeypots investigadores que pueden poner en riesgo sus esfuerzos ilícitos. Al analizar el comportamiento del grupo, SentinelOne detectó que el método de implementación de la lista de bloqueo cambió de de IPS directamente listado en script para una lista en un archivo adicional descargado. El método de llamar a la lista en el script varía entre implementaciones.
«Lo que podemos concluir es que el proyecto trivial del script permite una experimentación simple del invasor y no debería sorprender a los investigadores cuando se agrega o reorganiza una funcionalidad específica», dice Sentinelone.
Actualización de Pnwin Miner
PwnRig es una versión personalizada del código abiertoXMRig de código abierto que se ganó su nombre basado en las cuerdas que el autor usó en sus primeras versiones. Las versiones más recientes de PwnRig continúan utilizando el mismo nombre que el autor, mientras que las características de algunas mineras se han actualizado..
Uno de los recursos notables de PwnRig es la solicitud falsa de la piscina para dominios gubernamentales. Camargo explica que en un verdadero grupo, el cambio en el código de repositorio propuesto se comparte con sus mantenedores (que están escribiendo permiso), que pueden revisarlo antes de aprobar e incorporar el cambio.