Cryptojacking Campaign Targets Russian Devices, Mining Cryptocurrency

Binance News · 2025-06-11T06:03:37.000Z

According to Cointelegraph, the hacker group known as Librarian Ghouls, also referred to as Rare Werewolf, has compromised hundreds of Russian devices to mine cryptocurrency in a cryptojacking scheme. Cybersecurity firm Kaspersky reports that the group gains access to systems through phishing emails laden with malware, masquerading as official documents or payment orders from legitimate organizations. Once a computer is infected, the hackers establish remote connections, disable security systems like Windows Defender, and program the device to operate between 1 am and 5 am. During this time, they steal login credentials and gather information about the device's RAM, CPU cores, and GPUs to configure the crypto miner optimally.The campaign, which began in December 2024, has affected numerous Russian users, particularly in industrial enterprises and engineering schools, with additional victims in Belarus and Kazakhstan. The origin of the group remains unclear, but Kaspersky notes that the phishing emails are composed in Russian and include archives with Russian filenames, suggesting that the primary targets are likely based in Russia or speak Russian. The hackers maintain a connection to the mining pool, sending requests every 60 seconds, and continuously refine their tactics, which include data exfiltration, deployment of remote access tools, and use of phishing sites for email account compromise.Kaspersky speculates that the Librarian Ghouls might be hacktivists, using hacking as a form of civil disobedience to promote a political agenda. This speculation is based on their reliance on legitimate third-party utilities rather than developing their own malicious binaries. The duration of the group's activity is uncertain, but another Russian cybersecurity firm, BI. ZONE, reported on November 23 that Rare Werewolf has been active since at least 2019. The ongoing cryptojacking campaign highlights the evolving tactics of cybercriminals and the importance of robust cybersecurity measures to protect against such threats.

Menurut Cointelegraph, kelompok peretas yang dikenal sebagai Librarian Ghouls, juga disebut sebagai Rare Werewolf, telah mengkompromikan ratusan perangkat Rusia untuk menambang cryptocurrency dalam skema cryptojacking. Perusahaan keamanan siber Kaspersky melaporkan bahwa kelompok ini memperoleh akses ke sistem melalui email phishing yang dipenuhi dengan malware, menyamar sebagai dokumen resmi atau pesanan pembayaran dari organisasi yang sah. Setelah komputer terinfeksi, para peretas membangun koneksi jarak jauh, menonaktifkan sistem keamanan seperti Windows Defender, dan memprogram perangkat untuk beroperasi antara pukul 1 pagi dan 5 pagi. Selama waktu ini, mereka mencuri kredensial login dan mengumpulkan informasi tentang RAM perangkat, inti CPU, dan GPU untuk mengonfigurasi penambang crypto secara optimal.
Kampanye yang dimulai pada bulan Desember 2024 ini telah mempengaruhi banyak pengguna Rusia, khususnya di perusahaan industri dan sekolah teknik, dengan tambahan korban di Belarus dan Kazakhstan. Asal kelompok ini masih belum jelas, tetapi Kaspersky mencatat bahwa email phishing disusun dalam bahasa Rusia dan mencakup arsip dengan nama file Rusia, menunjukkan bahwa target utama kemungkinan berbasis di Rusia atau berbicara dalam bahasa Rusia. Para peretas mempertahankan koneksi ke kolam penambangan, mengirimkan permintaan setiap 60 detik, dan terus menyempurnakan taktik mereka, yang mencakup eksfiltrasi data, penerapan alat akses jarak jauh, dan penggunaan situs phishing untuk kompromi akun email.
Kaspersky berspekulasi bahwa Librarian Ghouls mungkin adalah hacktivis, menggunakan peretasan sebagai bentuk ketidakpatuhan sipil untuk mempromosikan agenda politik. Spekulasi ini didasarkan pada ketergantungan mereka pada utilitas pihak ketiga yang sah daripada mengembangkan biner berbahaya mereka sendiri. Durasi aktivitas kelompok ini tidak pasti, tetapi perusahaan keamanan siber Rusia lainnya, BI. ZONE, melaporkan pada 23 November bahwa Rare Werewolf telah aktif sejak setidaknya 2019. Kampanye cryptojacking yang sedang berlangsung menyoroti taktik yang berkembang dari para penjahat siber dan pentingnya langkah-langkah keamanan siber yang kuat untuk melindungi dari ancaman semacam itu.

Kampanye Cryptojacking Menargetkan Perangkat Rusia, Menambang Cryptocurrency

Berita Terbaru