Para los grupos criminales que promueven DDoS, Phishing y otros, cada anfitrión infectado es un "soldado" reclutado para trabajar.
Botnets son redes de computadoras infectadas y controladas de forma remota por hackers
Sólo la pandilla del Grupo 8220 pasó de 2.000 máquinas infectadas en el mundo a mediados de 2021 a 30.000 el pasado 18 de julio.
CLM, un distribuidor latinoamericano de valor agregado que se centra en la seguridad de la información, ha advertido cómo la vulnerabilidad a los ciberataques en las empresas ha sido aprovechada con éxito por los hackers. SentinelOne informó sobre el aumento en el número de máquinas que usan Linux infectado con riesgos comunes de aplicaciones en la nube y configuraciones mal protegidas.
“El grupo de crimeware 8220 ha expandido su botnet a aproximadamente 30.000 hosts en todo el mundo, utilizando Linux y vulnerabilidades comunes de aplicaciones en la nube y configuraciones mal protegidas. Utilixó una nueva versión de botnet IRC, minero de criptomonedas PwnRig y su script genérico de infección. Al pasado 18 de julio, alrededor de 30.000 sistemas en todo el mundo ya habían sido infectados con el botnet 8220 Gang”, dice la declaración de SentinelOne.
Tom Camargo, VP del CLM, explica que las “botnets son redes de computadoras infectadas y controladas de forma remota por hackers. "Los ‘soldados’ de 8220 Gang son ‘reclutados’ entre los usuarios que operan aplicaciones y servicios de Linux vulnerables y mal configurados".
Camargo señala que, sin el uso de inteligencia artificial para prevenir, detectar, responder y rastrear ataques, de forma autónoma, en todos los endpoints, contenedores, aplicaciones en la nube y dispositivos IoT, el número de infecciones continuará creciendo.
“En este caso, vemos que las vulnerabilidades conocidas aún son explotadas y con éxito por grupos de cibercriminales no muy especializados. Las 30.000 infecciones se lograron con métodos de fuerza bruta, es decir, intento y error”, comenta.
Estos ataques utilizan métodos de protocolo SSH (Secure Socket Shell), específicos para el intercambio de archivos entre el usuario y el servidor, después de la infección para automatizar los intentos de difusión. Las víctimas que usan infraestructura en la nube (AWS, Azure, GCP, Aliyun, QCloud) generalmente están infectadas con hosts de acceso público que realizan Docker, Confluence, Apache Weblogic y Redis. Siendo identificado solo por su acceso a Internet.
En los últimos años, la pandilla 8220 ha desarrollado guiones simples, pero efectivos, de infección de Linux, para expandir una botnet y un minero de criptomonedas ilícito. PwnRig, IRC Botnet y script de infección genérica que son increíblemente simples y se usan de manera oportunista en la segmentación grupal.
El grupo y los métodos de ataques recientes
El 8220 Gang es uno de los muchos grupos de crimeware de baja calificación, que ha infectado continuamente hosts en la nube y operando una botnet para usar víctimas como mineros de criptomonedas. También conocido como 8220 Mining Group, el 8220 Gang, operó durante años, y fue descubierto por tallos en 2018. Se cree que sus miembros son chinos.
Script de infección de botnet en la nube 8220
El script de infección actúa como el código principal para que botnet funcione. A pesar de su falta de evasión o detección de ensayos, el guión parece ser altamente efectivo para infectar objetivos. Su funcionalidad principal ha sido ampliamente lanzada durante varios años, siendo reutilizado por muchos grupos de minería de criptomonedas aficionadas y personas que buscan ganancias. "Por esta razón, los investigadores deben tener cuidado al asignar el guión en su totalidad a el Gang 8220", dice SentinelOne.
SentinelOne resume las acciones del guión, describiéndolo como notoriamente feo y con funciones no utilizadas o obsoletas, lo que permite el seguimiento trivial con el tiempo.
1) Preparación y limpieza del host de la víctima, incluida la eliminación de herramientas comunes de seguridad en la nube.
2) Malware IRC botnet y descargar/configuración de mineros y persistencia de remediación.
3) Validación y conectividad de la muestra de malware Tsunami IRC botnet.
4) Escáner SSH de red interna con capacidad de extensión lateral.
5) Ejecución del minero de criptomonedas Pnwnrig.
6) Recopilación de claves SSH locales, prueba de conectividad y propagación lateral.
Así opera el grupo
El Gang 8220 y otros grupos que usan este mismo script de infección se pueden observar cambiándolo varias veces al mes. Sentinelone informa que a fines de junio de 2022 el grupo comenzó a usar un archivo separado que llaman "espíritu" para administrar algunas de las características de fuerza bruta SSH fuera del script. El espíritu contiene una lista de aproximadamente 450 credenciales codificadas con bruto SSH. La lista incluye combinaciones de nombre de usuario y contraseñas estándar de dispositivos y aplicaciones de Linux.
Otro ejemplo de evolución es el uso de listas de bloqueo. Gang 8220 y otros utilizan listas de bloqueo de guiones de infección para evitar infectar anfitriones específicos, como honeypots investigadores que pueden poner en riesgo sus esfuerzos ilícitos. Al analizar el comportamiento del grupo, SentinelOne detectó que el método de implementación de la lista de bloqueo cambió de de IPS directamente listado en script para una lista en un archivo adicional descargado. El método de llamar a la lista en el script varía entre implementaciones.
"Lo que podemos concluir es que el proyecto trivial del script permite una experimentación simple del invasor y no debería sorprender a los investigadores cuando se agrega o reorganiza una funcionalidad específica", anota Sentinelone.
Créditos de imágenes: fotos de ciberataques creadas por Tima Miroshnichenko en Pexels y cortesía de CLM
Nuevos cibercrímenes han llegado con el aumento de la digitalización durante la pandemia
Ciberseguridad en Colombia: ¿Cómo enfrentarse a las amenazas informáticas en la industria 4.0?
Crónica de un combate ‘mano a mano’ entre Sophos MTR y REvil por 2.5 millones de dólares
