Un botnet appelé GoBruteforcer vise des serveurs mal sécurisés dans des attaques liées au vol de cryptomonnaies, selon Check Point . L’entreprise a indiqué que le malware est utilisé pour compromettre des systèmes Linux exposés en devinant les mots de passe par force brute, puis réutiliser ces machines pour étendre le botnet et supporter d’autres intrusions.
Check Point a indiqué que GoBruteforcer scanne Internet à la recherche de services accessibles au public qui sont souvent mal configurés ou protégés avec des identifiants faibles. Cela inclut des outils de base de données et d’administration ainsi que d’autres services serveurs accessibles à distance. Une fois la cible identifiée, le botnet tente des combinaisons de connexion répétées jusqu’à ce qu’il y accède. Les systèmes compromis sont ensuite utilisés comme nœuds supplémentaires pour effectuer des opérations de balayage et de force brute contre de nouvelles cibles.
Le malware est écrit dans le langage de programmation Go et conçu pour fonctionner sur divers environnements Linux. Check Point a indiqué que les opérateurs se concentrent sur les systèmes où les contrôles de sécurité de base n’ont pas été appliqués, tels que les mots de passe par défaut inchangés, les politiques de mots de passe faibles et les services inutiles exposés à Internet. Le succès du botnet dépend de crédents prévisibles et d’un accès ouvert aux interfaces de gestion.
Après avoir obtenu l’accès, GoBruteforcer peut installer des composants supplémentaires et maintenir la persistance, permettant aux attaquants de conserver le contrôle du serveur. Check Point a indiqué que la campagne est liée à des activités visant à identifier et à accéder aux infrastructures liées aux cryptomonnaies, y compris des services pouvant stocker des informations sur les portefeuilles ou fournir des voies pour transférer des actifs numériques. L’entreprise a indiqué que ces attaques pouvaient entraîner des transactions non autorisées si des identifiants de portefeuille ou des clés d’accès étaient obtenus.
L’activité du botnet augmente également le risque au-delà de la cible immédiate. Les serveurs compromis peuvent être utilisés dans le cadre d’un réseau plus large pour lancer de nouvelles attaques, masquer l’origine du trafic malveillant et augmenter l’ampleur des tentatives de force brute. Check Point a indiqué que cela peut rendre la détection plus difficile pour les défenseurs, en particulier lorsque les systèmes infectés sont des serveurs légitimes qui continuent à fonctionner normalement.
La campagne met en lumière comment les faiblesses de sécurité fondamentales restent un point d’entrée courant pour la cybercriminalité. Check Point a indiqué que les organisations peuvent réduire leur exposition en désactivant les services publics inutiles, en restreignant l’accès administratif, en imposant des mots de passe forts et uniques, et en surveillant les échecs répétés de connexion. Un correctif régulier et un examen des services exposés sont également importants pour limiter les risques d’attaques automatisées.
Check Point a indiqué que GoBruteforcer reflète un schéma plus large d’attaquants se concentrant sur des infrastructures faciles à compromettre et capables de supporter d’autres activités malveillantes. L’entreprise a indiqué que le botnet reste actif et continue de rechercher des systèmes vulnérables.