Pacha Group declara la guerra a hackers de mineria criptografica rivales

hackers

Dos grupos de piratería asociados con campañas de minería de cifrado a gran escala, Pacha Group y Rocke Group , libran una guerra para comprometer tanto como sea posible la infraestructura basada en la nube.

El primer grupo rastreado como Pacha Group tiene orígenes chinos, se detectó por primera vez en septiembre de 2018 y se sabe que ofrece el minero Linux.GreedyAntd.

La cadena de ataques del Grupo Pacha comienza comprometiendo los servidores vulnerables lanzando ataques de fuerza bruta contra servicios como WordPress o PhpMyAdmin, o en algunos casos aprovechando una vulnerabilidad conocida para una versión obsoleta de servicios similares.

Los investigadores de Intezer Labs continuaron monitoreando este grupo de delitos informáticos y descubrieron que también está apuntando a entornos basados ​​en la nube y trabajando para interrumpir las operaciones de otros grupos de criptografía y minería, como el Grupo Rocke.

“A pesar de compartir casi el 30% del código con variantes anteriores, las tasas de detección de las nuevas variantes del Grupo Pacha son bajas” leeEl análisis publicado por Intezer Labs.

"La principal infraestructura de malware parece ser idéntica a las campañas anteriores de Pacha Group, aunque hay un esfuerzo distinguible para detectar y mitigar los implantes de Rocke Group".

El grupo Rocke también usó un minero de criptomonedas en campañas que comenzaron en abril de 2018 y que intenta eliminar cualquier otro malware de criptomoneda que se ejecute en la máquina infectada.

El Grupo Pacha para luchar contra los rivales agregó una lista de direcciones IP codificadas a la lista negra implementada por Linux.GreedyAntd, cuyo objetivo era bloquear a los mineros de Rocke al enrutar su tráfico a las máquinas comprometidas.

"Después de analizar la lista negra de IP, descubrimos que algunas de estas IP, aunque no necesariamente son maliciosas, se sabe que Rocke Group las utilizó en el pasado", continúa el informe. “Como ejemplo, systemten [.] Org está en esta lista negra y se sabe que Rocke Group ha usado este dominio para sus operaciones de criptografía. Los siguientes son algunos dominios que corresponden a sus IP codificadas en la lista negra de Linux.GreedyAntd que tienen correlaciones de Rocke Group "

Ambos grupos están apuntando activamente a la infraestructura de la nube para ejecutar sus mineros de criptomonedas y comenzaron a pelear entre sí.

Los mineros utilizados por ambos grupos pueden buscar y deshabilitar la seguridad en la nube y monitorear productos de diversos proveedores, como Alibaba Cloud. Ambos programas maliciosos también incluyen un rootkit ligero en modo usuario conocido como Libprocesshider y han abusado de la vulnerabilidad de Atlassian:

"Creemos que estos hallazgos son relevantes en el contexto de crear conciencia acerca de las amenazas nativas de la nube, en particular en los servidores de Linux vulnerables", lee el informe publicado por los expertos. "Si bien los grupos de actores de amenazas compiten entre sí, esta evidencia puede sugerir que las amenazas a la infraestructura en la nube están aumentando".

Fecha actualización el 2021-05-13. Fecha publicación el 2019-05-13. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs Version movil