Parece que os tempos de distribuições Linux seguras e a prova de virus, ataques de hackers e mineração de criptomoedas estão ficando para trás. Os Hackers disputam servidores Linux inseguros. Dois grupos estão travando uma verdadeira guerra na nuvem para saber quem infecta mais servidores Linux vulneráveis. Os grupos são identificados como Rocke e Pascha. São esses dois grupos hackers que querem assumir o controle sobre o máximo de ambientes Linux baseados em nuvem. E a disputa tem crescido. O objetivo desses hackers é usar os recursos do servidor para minerar criptomoeda em servidores Linux inseguros.
Batalha desde o ano passado
Essa guerra tem ocorrido secretamente desde o final do ano passado, quando surgiu um novo grupo hacker chamado Pacha, que foi bem sucedido em desafiar o Rocke – o principal grupo especializado em operações de mineração de criptografia do Monero.
Ambos os grupos fazem operações de varredura em massa que procuram serviços e servidores em nuvem abertos ou não corrigidos. Depois de localizá-los, infecta com uma carga de malware multifuncional baseada em Linux.
O mais agressivo dos dois é, de longe, o menor grupo Pacha. Este adotou a estratégia de remover uma longa lista de cepas conhecidas de malware de mineração de criptografia em cada servidor infectado.
Usando essa abordagem, os hackers da Pacha ocuparam um espaço importante no ambiente de mineração.
PACHA INDO ATRÁS DE ROCKE
E de acordo com um relatório publicado recentemente, o Pacha Group prestou especial atenção à identificação e remoção de versões do minerador de Rocke. Assim, esta foi, provavelmente, uma tentativa de corroer a “participação de mercado” do rival.
Esse truque de remover concorrentes de servidores infectados também está presente no malware do grupo Rocke, segundo Nacho Sanmillan, pesquisador de segurança da Intezer Labs.
Embora [Rocke] tente eliminar alguns mineradores genéricos, é um conjunto menor em comparação com o que a Pacha faz, disse Sanmillan à ZDNet .
Atualmente, o Rocke ainda tem uma vantagem sobre a Pacha devido à superioridade de seu malware, que recentemente recebeu a capacidade de desinstalar produtos de segurança baseados em nuvem.
No entanto, o Pacha Group está crescendo rapidamente, tendo recentemente adicionado suporte para uma vulnerabilidade de servidor Atlassian Confluence que é uma das falhas de segurança mais exploradas atualmente [ 1 , 2 , 3 ].
Mineração segmanetada na Nuvem
Embora inicialmente as operações de mineração de criptografia tenham como alvo usuários de desktop e servidores web ou FTP independentes, houve uma mudança de paradigma no início de 2018.
Na época, um grande número de grupos de mineração de criptografia percebeu que os servidores Linux e Windows possuíam boa parte da infraestrutura em nuvem. Portanto, tinham acesso a muito mais poder de processamento do que os sistemas isolados. Então, os hackers mudaram seu foco para tecnologias baseadas em nuvem, como Docker e Kubernetes como um resultado.
Mercado lotado
Desde então, grupos de mineração de criptografia diversificaram seu “portfólio de exploração”. O foco agora são outras tecnologias tipicamente encontradas em ambientes baseados em nuvem. Assim, podemos citar sistemas Jenkins, servidores Confluence, Apache Struts, JBoss e outros.
Ver duas botnets lutando por suas vítimas não é novidade. Isso acontece o tempo todo, especialmente com os botnets de IoT. Elas frequentemente competem pelos mesmos roteadores e dispositivos de IoT. Além disso, geralmente incluem mecanismos para sabotar os concorrentes e até fechar dispositivos para que ninguém mais os possa atacar.
Ver as operações de malware tentando sabotar umas às outras é um sinal de que o mercado está ficando lotado. Até aí, nenhuma surpresa. Isso porque os mineradores são uma das categorias de malware mais populares e mais ativas da atualidade. Portanto, cada vez mais os Hackers disputam servidores Linux inseguros.
