Hacker e Cryptojacking in Russia
Il gruppo hacker Librarian Ghouls ha compromesso centinaia di dispositivi in Russia, utilizzandoli per minare criptovaluta in un evidente caso di cryptojacking, come riportato dalla società di cybersicurezza Kaspersky. Conosciuto anche come Rare Werewolf, questo gruppo accede ai sistemi tramite e-mail di phishing infette da malware, mascherate da comunicazioni di organizzazioni legittime, che si presentano come documenti ufficiali o ordini di pagamento.
Tecniche di Attacco
Gli hacker esaminano le informazioni sui dispositivi prima di avviare il mining. Una volta infettato un computer, stabiliscono una connessione remota e disattivano i sistemi di sicurezza, come Windows Defender.
Inoltre, il dispositivo infettato è programmato per accendersi alle 1:00 e spegnersi alle 5:00, consentendo agli hacker di mantenere il controllo remoto non autorizzato e rubare le credenziali di accesso.
“Riteniamo che gli aggressori utilizzino questa tecnica per camuffare le loro tracce, affinché l’utente non si accorga che il proprio dispositivo è stato compromesso,” ha dichiarato Kaspersky.
Successivamente, rubano le credenziali di accesso e raccolgono informazioni sulla RAM disponibile del dispositivo, sui core della CPU e sulle GPU, per ottimizzare il miner di criptovaluta prima di metterlo in funzione.
Operazioni di Mining e Strategie degli Hacker
Mentre il miner è operativo, gli hacker mantengono una connessione al mining pool, inviando una richiesta ogni 60 secondi, secondo Kaspersky.
“Osserviamo che gli aggressori stanno costantemente perfezionando le loro tattiche, che comprendono non solo l’esfiltrazione dei dati, ma anche il dispiego di strumenti di accesso remoto e l’uso di siti di phishing per compromettere gli account email,” ha confermato la società.
La campagna di cryptojacking è in corso dal 2024 e, finora, ha colpito centinaia di utenti russi, in particolare imprese industriali e scuole di ingegneria, con ulteriori vittime segnalate in Bielorussia e Kazakistan.
Origine e Obiettivi del Gruppo
Sebbene non sia chiara l’origine del gruppo, Kaspersky ha sottolineato che le e-mail di phishing sono scritte in russo e contengono archivi con nomi di file russi, insieme a documenti ingannevoli in lingua russa.
“Questo suggerisce che i principali obiettivi di questa campagna sono probabilmente basati in Russia o parlano russo,” ha precisato Kaspersky.
Kaspersky ipotizza che i Librarian Ghouls possano essere hacktivisti, i quali utilizzano l’hacking come forma di disobbedienza civile per promuovere un’agenda politica, data l’impiego di tecniche comunemente associate a gruppi simili, come la dipendenza da software di terze parti legittimi.
“Una caratteristica distintiva di questa minaccia è che gli aggressori preferiscono utilizzare software di terze parti legittimi, piuttosto che sviluppare i propri binari malevoli,” ha affermato Kaspersky.
Non si conosce da quanto tempo il gruppo sia attivo, ma un’altra società di cybersicurezza russa, BI. ZONE, ha riportato in un rapporto del 23 novembre che Rare Werewolf esiste almeno dal 2019.
