Pesquisadores de cibersegurança descobriram uma nova variante do botnet Gafgyt que está direcionando máquinas com senhas SSH fracas para, em última análise, minerar criptomoedas em instâncias comprometidas, aproveitando o poder computacional de suas GPUs. Essa descoberta indica que o “botnet de IoT está mirando servidores mais robustos que operam em ambientes nativos de nuvem”, disse o pesquisador Assaf Morag, em uma análise publicada na última quarta-feira. Os dispositivos infectados são controlados em um botnet capaz de lançar ataques distribuídos de negação de serviço (DDoS) contra alvos de interesse.

Evidências sugerem que o Gafgyt e o Necro são operados por um grupo de ameaças chamado Keksec. Os botnets de IoT, como o Gafgyt, estão em constante evolução, adicionando novos recursos. Em 2021, variantes foram detectadas utilizando a rede TOR para ocultar atividades maliciosas, além de incorporarem módulos do código-fonte vazado do Mirai. Vale lembrar que o código-fonte do Gafgyt foi vazado online no início de 2015, alimentando ainda mais o surgimento de novas versões e adaptações.

A cadeia de ataque mais recente envolve o uso de força bruta em servidores SSH com senhas fracas para implantar payloads de próxima etapa, facilitando um ataque de mineração de criptomoedas usando o “systemd-net”. Antes disso, o malware encerra outros malwares concorrentes que já estão em execução no host comprometido.