Cercetătorii Bitdefender au descoperit un grup de atacatori informatici români care infectează de la distanţă calculatoare şi servere de pe tot globul, de unde minează apoi ilegal criptomonede.
Procesul de minare a criptomonelor este unul de durată şi necesită sisteme informatice scumpe, cu putere de procesare mare. Din acest motiv, infractorii informatici evită să folosească propriile dispozitive şi încearcă de la distanţă să preia controlul unor asemenea sisteme şi să le folosească ca şi când ar fi ale lor.
După ce pun mâna pe sistemele victimelor, care rulează în sistemul de operare Linux, hackerii instalează ilegal o aplicaţie şi minează pe termen nedefinit criptomoneda Monero. Astfel, dispozitivul infectat nu va mai funcţiona în parametrii optimi, se va deteriora într-un ritm accelerat, serviciile găzduite pe serverele infectate vor funcţiona din ce în ce mai prost, iar consumul de energie electrică plătit de victimă va creşte.
Cercetătorii în securitate informatică de la Bitdefender au depistat şi uneltele pe care răufăcătorii le folosesc în mod fraudulos. Astfel, atacatorii au dezvoltat un program care urmăreşte să ghicească parolele slabe folosite la protocolul prin care se face conectarea de la distanţă la un server, iar odată intraţi în sistem instalează o aplicaţie modificată ce foloseşte puterea de procesare pentru minarea de criptomonede.
Programul cu care atacatorii scanează Internetul pentru a găsi dispozitive vulnerabile conţine cuvinte sau propoziţii într-un amestec de engleză şi română, numele programului cu care sparg parolele fiind tocmai „DIICOT brute”. În cadrul investigaţiei, cercetătorii Bitdefender au descoperit că inclusiv în comentariile din aplicaţii, hackerii folosesc nume româneşti. Victimele pot depista că dispozitivele lor sunt folosite abuziv de către terţi pentru a mina criptomonede atunci când constată că acestea nu mai funcţionează corespunzător.
Specialiştii în securitate informatică de la Bitdefender recomandă folosirea unor parole unice şi complexe care să nu poată fi sparte prin încercări repetate, dar şi închiderea protocoalelor de comunicare pe care nu le folosesc în mod uzual. Administratorii sistemelor care constată funcţionarea greoaie a sistemelor trebuie să înlăture toate fişierele instalate de către atacatori pe dispozitivul infectat şi să se asigure că iau toate măsurile pentru combaterea infectării.