O grupo de criptomineração “8220” expandiu em tamanho para abranger até 30.000 hosts infectados, operando uma botnet e mineradores de criptomoedas por meio de vulnerabilidades conhecidas e vetores de infecção de força bruta de acesso remoto.

Esse crescimento foi impulsionado pelo uso de Linux e vulnerabilidades comuns de aplicativos em nuvem e configurações mal feitas para serviços como Docker, Apache WebLogic e Redis.

Além de executar o minerador de criptomoedas, o script de infecção também foi projetado para remover ferramentas de segurança em nuvem e realizar força bruta no SSH por meio de uma lista de 450 credenciais codificadas para se propagar lateralmente pela rede.

As versões mais recentes do script também são conhecidas por empregar listas de bloqueio para evitar comprometer hosts específicos, como servidores honeypot que podem sinalizar seus esforços ilícitos.

O aumento das operações também é visto como uma tentativa de compensar a queda dos preços das criptomoedas, sem mencionar uma “batalha” intensificada para assumir o controle dos sistemas das vítimas de grupos concorrentes focados em criptojacking.

Botnet sequestrou 30.000 hosts para minerar criptomoedas

Especialistas descobrem novo spyware visando usuários da Apple

Cibercriminosos estão visando sistemas de controle industrial

Spyware Pegasus é usado para hackear dispositivos de ativistas

Ministério da Saúde de Israel sofre ataque cibernético

Cibercriminosos estão visando pequenas e médias empresas com Ransomware

Versões falsas do WhatsApp estão roubando informações dos usuários

Ransomware BlackCat exige US$ 2,5 milhões como resgate

Cibercriminosos pedem R$ 250 milhões para liberar sistema de prefeitura do ES

Novas vulnerabilidades de firmware afetam vários modelos de notebooks Lenovo