Una botnet nota come GoBruteforcer sta prende di mira server poco protetti in attacchi legati al furto di criptovalute, secondo Check Point . L’azienda ha affermato che il malware viene utilizzato per compromettere sistemi Linux esposti tramite la devinatura delle password, per poi riutilizzare quelle macchine per espandere la botnet e supportare ulteriori intrusioni.
Check Point ha detto che GoBruteforcer scansiona internet alla ricerca di servizi accessibili al pubblico che sono comunemente configurati male o protetti con credenziali deboli. Questi includono strumenti di database e amministrazione e altri servizi server raggiungibili da remoto. Una volta identificato un bersaglio, la botnet tenta combinazioni di login ripetute finché non ottiene l’accesso. I sistemi compromessi vengono poi utilizzati come nodi aggiuntivi per condurre attività di scansione e forza bruta contro nuovi bersagli.
Il malware è scritto nel linguaggio di programmazione Go ed è progettato per funzionare su una vasta gamma di ambienti Linux. Check Point ha detto che gli operatori si concentrano su sistemi in cui i controlli di sicurezza di base non sono stati applicati, come password predefinite non cambiate, politiche di password deboli e servizi inutili esposti a internet. Il successo della botnet dipende da credenziali prevedibili e dall’accesso aperto alle interfacce di gestione.
Dopo aver ottenuto l’accesso, GoBruteforcer può installare componenti aggiuntivi e mantenere la persistenza, permettendo agli attaccanti di mantenere il controllo sul server. Check Point ha dichiarato che la campagna è collegata ad attività volte a identificare e accedere all’infrastruttura correlata alle cripto, inclusi servizi che possono conservare informazioni sui wallet o fornire percorsi per trasferire asset digitali. L’azienda ha affermato che gli attacchi possono portare a transazioni non autorizzate se vengono ottenute credenziali del portafoglio o chiavi di accesso.
L’attività della botnet aumenta anche il rischio oltre il bersaglio immediato. I server compromessi possono essere utilizzati come parte di una rete più ampia per lanciare nuovi attacchi, nascondere l’origine del traffico malevolo e aumentare la scala dei tentativi di brute force. Check Point ha affermato che questo può rendere la rilevazione più difficile per i difensori, soprattutto quando i sistemi infetti sono server legittimi che continuano a funzionare normalmente.
La campagna evidenzia come le debolezze di base della sicurezza rimangano un punto di ingresso comune per il crimine informatico. Check Point ha affermato che le organizzazioni possono ridurre l’esposizione disabilitando servizi pubblici non necessari, limitando l’accesso amministrativo, applicando password forti e uniche e monitorando ripetuti fallimenti di accesso. Patch regolari e revisioni dei servizi esposti sono inoltre importanti per limitare le opportunità di attacchi automatici.
Check Point ha detto che GoBruteforcer riflette un modello più ampio di attaccanti che si concentrano su infrastrutture facili da compromessi e capaci di supportare ulteriori attività dannose. L’azienda ha dichiarato che il botnet rimane attivo e continua a cercare sistemi vulnerabili.