8220 Gang Bajak 30.000 Host Untuk Cryptojacking

8220 Gang Bajak 30.000 Host - Kelompok penjahat siber 8220 gang telah memperluas operasinya secara signifikan, membajak lebih dari 30.000 host untuk crypto mining. Jumlah ini melonjak dari 2.000 host yang ditargetkan pada pertengahan 2021.

Menurut laporan SentinelOne yang dirilis pada hari Senin, "8220 Gang" adalah salah satu dari beberapa kelompok cybercrime yang memanfaatkan host cloud yang diretas untuk menjalankan botnet dan crypto mining. Kelompok ini menggunakan kerentanan yang diketahui dan serangan brute-force untuk mendapatkan akses jarak jauh.

Ekspansi 8220 Gang diduga didorong oleh beberapa faktor, termasuk:

• Penggunaan sistem Linux dan kerentanan aplikasi cloud umum
• Konfigurasi yang tidak aman untuk layanan seperti Docker, Apache WebLogic, dan Redis
• Aktivitas mining Monero oleh aktor berbahasa Cina yang sudah berlangsung sejak awal 2017

Kelompok ini baru-baru ini menargetkan sistem Linux i686 dan x86 64 dengan menggunakan serangan remote code execution baru untuk Atlassian Confluence Server (CVE-2022-26134) untuk menyebarkan payload PwnRig miner.

Korban tidak ditargetkan secara geografis, melainkan diidentifikasi berdasarkan koneksi internet mereka. Skrip infeksi diprogram untuk menghapus alat keamanan cloud dan melakukan brute-forcing SSH menggunakan daftar 450 kredensial yang dikodekan dengan keras untuk menyebar secara lateral ke seluruh jaringan.

Versi skrip yang lebih baru juga menggunakan daftar blokir untuk mencegah penyusupan situs tertentu, seperti server honeypot, yang dapat memperingatkan mereka tentang aktivitas ilegal mereka.

PwnRig cryptominer, didasarkan pada XMRig, telah diperbarui untuk menyembunyikan tujuan sebenarnya dari uang yang dihasilkan dengan menggunakan subdomain FBI palsu dan alamat IP yang menunjuk ke domain pemerintah federal Brasil.

Peningkatan operasi 8220 Gang kemungkinan dilakukan untuk mengimbangi penurunan nilai cryptocurrency dan untuk bersaing dengan kelompok lain yang berfokus pada cryptojacking dalam mengendalikan sistem korban.

"Selama tiga tahun terakhir, 8220 Gang telah secara progresif meningkatkan skrip infeksi Linux mereka yang sederhana namun berhasil untuk memperluas botnet dan crypto mining ilegal," kata Tom Hegel dari SentinelOne. "Dalam beberapa minggu terakhir, kelompok ini telah melakukan perubahan untuk memperluas botnet menjadi sekitar 30.000 korban di seluruh dunia."

Kasus ini menunjukkan bahwa organisasi perlu meningkatkan keamanan cloud mereka dan menerapkan langkah-langkah untuk melindungi sistem mereka dari serangan brute-force.