Hackers hackeiam vítimas hackeadas por outros hackers

Os usuários regulares da Web e as empresas não são as únicas vítimas de hackers maliciosos. Às vezes, os próprios hackers são hackeados.

Foi o que aconteceu numa campanha de hackers incomum, onde um grupo desconhecido de hackers teve como alvo sistemas já comprometidos por um prolífico grupo de crimes cibernéticos conhecido como TeamPCP. Assim que os hackers invadiram esses sistemas, eles imediatamente expulsaram os hackers do TeamPCP e removeram suas ferramentas, de acordo com um novo relatório pela empresa de segurança cibernética SentinelOne.

A partir daí, os hackers usam seu acesso para implantar código projetado para replicar em diferentes infraestruturas de nuvem, como um worm que se espalha automaticamente, roubar vários tipos de credenciais e, finalmente, enviar os dados roubados de volta para sua infraestrutura.

TeamPCP é um grupo cibercriminoso que ganhou as manchetes nas últimas semanas, graças a uma série de hacks de alto perfil atribuídos ao grupo. Esses ataques incluíram uma violação da infraestrutura de nuvem da Comissão Europeia e um ataque cibernético em larga escala contra ferramenta de verificação de vulnerabilidade amplamente utilizada Trivvyque afetou qualquer empresa que dependesse dele, incluindo LiteLLM e a startup de recrutamento de IA Mercor, entre outras.

Alex Delamotte, pesquisador sênior do SentinelOne que encontrou a nova campanha de hackers e a apelidou de “PCPJack”, disse ao TechCrunch que não está claro quem está por trás dela. Neste ponto, Delamotte disse que suas três teorias são de que os hackers são ex-membros descontentes do TeamPCP, fazem parte de um grupo rival ou são terceiros “que escolheram modelar diretamente suas ferramentas de ataque nas campanhas anteriores do TeamPCP”, muitas das quais tinham como alvo a infraestrutura em nuvem.

“Os serviços visados ​​pelo PCPJack se assemelham muito às campanhas do TeamPCP de dezembro a janeiro, antes da suposta mudança na adesão ao grupo que aconteceu em fevereiro-março”, disse Delamotte.

Delamotte também observou que os hackers não visam apenas sistemas comprometidos pelo TeamPCP, mas também examinam a Web em busca de serviços expostos, como a plataforma de máquina digital em nuvem Docker, bancos de dados que executam MongoDB e outros. Mas SentinelOne disse que o grupo parecia amplamente focado em atingir o TeamPCP.

De acordo com o relatório, as próprias ferramentas dos hackers mantêm um registro do número de alvos hackeados onde eles expulsaram o TeamPCP com sucesso, enviando essas informações de volta para sua infraestrutura.

Os objetivos dos hackers PCPJack parecem ser puramente financeiros, pois roubam credenciais com foco em monetizá-las. Os hackers fazem isso revendendo-os, vendendo acesso aos sistemas hackeados como os chamados corretores de acesso inicial – hackers que invadem sistemas e depois deixam clientes pagantes entrarem nas máquinas hackeadas, ou extorquindo diretamente as vítimas.

Os hackers, no entanto, não tentam instalar software program para extrair criptografia nos sistemas hackeados, provavelmente porque essa estratégia requer mais tempo para colher os frutos, segundo Delamotte.

Como parte de alguns de seus ataques, os hackers estão usando domínios que sugerem que eles estão fazendo phishing para obter credenciais de gerenciador de senhas e websites falsos de suporte técnico, de acordo com Delamotte.