Ein Botnet namens GoBruteforcer zielt laut Check Point Angriffen im Zusammenhang mit Kryptowährungsdiebstahl schlecht gesicherte Server an. Das Unternehmen erklärte, die Malware werde genutzt, um exponierte Linux-Systeme durch Brute-Force-Passwortraten zu kompromittieren und diese Geräte dann wiederzuverwenden, um das Botnetz zu erweitern und weitere Eindringlinge zu unterstützen.
Check Point sagte, GoBruteforcer durchsucht das Internet nach öffentlich zugänglichen Diensten, die häufig falsch konfiguriert oder mit schwachen Zugangsdaten geschützt sind. Dazu gehören Datenbank- und Verwaltungstools sowie andere Serverdienste, die aus der Ferne erreichbar sind. Sobald ein Ziel identifiziert ist, versucht das Botnetz wiederholt Login-Kombinationen, bis es Zugriff erhält. Kompromittierte Systeme werden dann als zusätzliche Knoten genutzt, um Scans durchzuführen und Brute-Force-Aktivitäten gegen neue Ziele durchzuführen.
Die Malware ist in der Programmiersprache Go geschrieben und dafür ausgelegt, in verschiedenen Linux-Umgebungen ausgeführt zu werden. Check Point sagte, die Betreiber konzentrieren sich auf Systeme, bei denen grundlegende Sicherheitsmaßnahmen nicht angewendet wurden, wie unveränderte Standardpasswörter, schwache Passwortrichtlinien und unnötige Dienste, die dem Internet ausgesetzt sind. Der Erfolg des Botnetzes hängt von vorhersehbaren Zugangsdaten und offenem Zugang zu Verwaltungsschnittstellen ab.
Nach dem Zugriff kann GoBruteforcer zusätzliche Komponenten installieren und die Persistenz aufrechterhalten, sodass die Angreifer die Kontrolle über den Server behalten können. Check Point erklärte, die Kampagne stehe im Zusammenhang mit Aktivitäten zur Identifizierung und zum Zugriff auf kryptobezogene Infrastrukturen, einschließlich Dienstleistungen, die Wallet-Informationen speichern oder Wege zur Übertragung digitaler Vermögenswerte bereitstellen können. Das Unternehmen erklärte, dass die Angriffe zu unautorisierten Transaktionen führen können, wenn Wallet-Zugangsdaten oder Zugangsschlüssel erhalten werden.
Die Aktivitäten des Botnetzes erhöhen zudem das Risiko über das unmittelbare Ziel hinaus. Kompromittierte Server können als Teil eines größeren Netzwerks genutzt werden, um neue Angriffe zu starten, den Ursprung bösartigen Datenverkehrs zu verbergen und das Ausmaß von Brute-Force-Versuchen zu erhöhen. Check Point sagte, dass dies die Erkennung für Verteidiger erschweren kann, insbesondere wenn die infizierten Systeme legitime Server sind, die weiterhin normal funktionieren.
Die Kampagne hebt hervor, wie grundlegende Sicherheitslücken weiterhin ein häufiger Einstiegspunkt für Cyberkriminalität sind. Check Point erklärte, dass Organisationen das Risiko verringern können, indem sie unnötige öffentlich zugängliche Dienste deaktivieren, administrativen Zugriff einschränken, starke und einzigartige Passwörter durchsetzen und wiederholte Login-Fehlschläge überwachen. Regelmäßiges Patchen und die Überprüfung exponierter Dienste sind ebenfalls wichtig, um Möglichkeiten für automatisierte Angriffe zu begrenzen.
Check Point sagte, GoBruteforcer spiegele ein breiteres Muster wider, in dem Angreifer sich auf Infrastruktur konzentrieren, die leicht zu kompromittieren ist und weitere böswillige Aktivitäten unterstützen kann. Das Unternehmen erklärte, dass das Botnetz weiterhin aktiv ist und weiterhin nach verwundbaren Systemen sucht.