Il ritorno di TeamTNT: Una nuova campagna di cryptojacking

Il famigerato gruppo di cybercriminali noto come TeamTNT è tornato in azione con una nuova campagna di cryptojacking. Secondo il rapporto Group-IB nonostante si pensasse che il gruppo si fosse sciolto nel 2022, recenti evidenze indicherebbero che TeamTNT è ancora attivo. Questa volta, il gruppo avrebbe preso di mira le infrastrutture cloud VPS che eseguono CentOS, utilizzando tecniche sofisticate per compromettere i sistemi e sfruttarli per il mining di criptovalute. La campagna sarebbe stata attribuita a TeamTNT sulla base di somiglianze nelle TTP (Tattiche, Tecniche e Procedure) osservate.

TeamTNT è un gruppo di cybercriminali, attivo almeno dal 2019, noto per le sue campagne di cryptojacking, che sfruttano le risorse IT delle vittime per il mining illegale di criptovalute.

Metodologia di attacco

TeamTNT ottiene l’accesso iniziale ai sistemi bersaglio tramite attacchi brute force SSH. Una volta ottenuto l’accesso, distribuiscono uno script dannoso che esegue diverse operazioni per garantire il controllo e la furtività:

  1. Disabilitazione delle funzionalità di sicurezza: Lo script disabilita le funzionalità di sicurezza del sistema per evitare il rilevamento, disattivando SELinux , AppArmor e il firewall.
  2. Eliminazione dei log: Vengono eliminati i log di sistema per cancellare le tracce delle attività malevole.
  3. Installazione di un rootkit: Viene installato un rootkit (Diamorphine) che permette al gruppo di mantenere il controllo del sistema compromesso senza essere rilevato.

Misure di protezione

Questa nuova campagna di TeamTNT rappresenta una minaccia significativa per le infrastrutture cloud. Il mining di criptovalute non autorizzato può portare a un aumento dei costi operativi, a una riduzione delle prestazioni del sistema e a potenziali violazioni dei dati. Inoltre, la presenza di un rootkit può consentire ulteriori attività malevole, come il furto di dati sensibili o l’uso del sistema compromesso per attacchi futuri. Il ritorno di TeamTNT con una nuova campagna di cryptojacking sottolinea l’importanza di mantenere alti livelli di sicurezza nelle infrastrutture cloud. Adottando misure preventive e monitorando attentamente i sistemi, è possibile ridurre il rischio di compromissione e proteggere le risorse digitali.

Per proteggersi da questa e altre minacce simili, è fondamentale adottare misure di sicurezza robuste:

  • Utilizzare Autenticazione a Due Fattori (2FA): Implementare 2FA per l’accesso SSH per aggiungere un ulteriore livello di sicurezza.
  • Monitorare i log di sistema: Monitorare regolarmente i log di sistema per rilevare attività sospette.
  • Aggiornare regolarmente il software: Mantenere aggiornati tutti i software e le patch di sicurezza per ridurre le vulnerabilità.
  • Implementare sistemi di rilevamento delle Intrusioni (IDS): Utilizzare IDS per rilevare e rispondere rapidamente a eventuali intrusioni.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.