Een botnet genaamd GoBruteforcer richt zich op slecht beveiligde servers in aanvallen die verband houden met diefstal van cryptovaluta, aldus Check Point . Het bedrijf zei dat de malware wordt gebruikt om blootgestelde Linux-systemen te compromitteren via brute force wachtwoordraad, en vervolgens die machines te hergebruiken om het botnet uit te breiden en verdere inbraken te ondersteunen.
Check Point zei dat GoBruteforcer het internet scant op openbaar toegankelijke diensten die vaak verkeerd zijn geconfigureerd of beschermd zijn met zwakke inloggegevens. Deze omvatten database- en beheertools en andere serverdiensten die op afstand bereikbaar zijn. Zodra een doelwit is geïdentificeerd, probeert het botnet herhaaldelijk inlogcombinaties totdat het toegang krijgt. Gecompromitteerde systemen worden vervolgens gebruikt als extra nodes om scanning en brute force-activiteiten uit te voeren tegen nieuwe doelen.
De malware is geschreven in de programmeertaal Go en is ontworpen om te draaien in een reeks Linux-omgevingen. Check Point zei dat de exploitanten zich richten op systemen waarbij basisbeveiligingsmaatregelen niet zijn toegepast, zoals ongewijzigde standaardwachtwoorden, zwakke wachtwoordbeleid en onnodige diensten die aan het internet worden blootgesteld. Het succes van het botnet hangt af van voorspelbare inloggegevens en open toegang tot beheersinterfaces.
Na het verkrijgen van toegang kan GoBruteforcer extra componenten installeren en persistentie behouden, waardoor de aanvallers de controle over de server behouden. Check Point zei dat de campagne verband houdt met activiteiten gericht op het identificeren en benaderen van crypto-gerelateerde infrastructuur, inclusief diensten die wallet-informatie kunnen opslaan of routes bieden om digitale activa over te dragen. Het bedrijf zei dat de aanvallen kunnen leiden tot ongeautoriseerde transacties als wallet-inloggegevens of toegangssleutels worden verkregen.
De activiteit van het botnet verhoogt ook het risico voorbij het directe doel. Servers die gecompromitteerd zijn, kunnen worden gebruikt als onderdeel van een breder netwerk om nieuwe aanvallen te lanceren, de oorsprong van kwaadaardig verkeer te verbergen en de schaal van brute force-pogingen te vergroten. Check Point zei dat dit detectie voor verdedigers moeilijker kan maken, vooral wanneer de geïnfecteerde systemen legitieme servers zijn die normaal blijven functioneren.
De campagne benadrukt hoe fundamentele beveiligingszwaktes een veelvoorkomend toegangspunt voor cybercriminaliteit blijven. Check Point meldde dat organisaties de blootstelling kunnen verminderen door onnodige openbare diensten uit te schakelen, administratieve toegang te beperken, sterke en unieke wachtwoorden af te dwingen en herhaalde mislukte inlogfouten te monitoren. Regelmatige patching en beoordeling van blootgestelde diensten zijn ook belangrijk om de mogelijkheden voor geautomatiseerde aanvallen te beperken.
Check Point zei dat GoBruteforcer een breder patroon weerspiegelt waarbij aanvallers zich richten op infrastructuur die gemakkelijk te compromitteren is en in staat is verdere kwaadaardige activiteiten te ondersteunen. Het bedrijf zei dat het botnet actief blijft en blijft zoeken naar kwetsbare systemen.