Cryptojacking Campaign Targets Russian Devices, Mining Cryptocurrency

Binance News · 2025-06-11T06:03:37.000Z

According to Cointelegraph, the hacker group known as Librarian Ghouls, also referred to as Rare Werewolf, has compromised hundreds of Russian devices to mine cryptocurrency in a cryptojacking scheme. Cybersecurity firm Kaspersky reports that the group gains access to systems through phishing emails laden with malware, masquerading as official documents or payment orders from legitimate organizations. Once a computer is infected, the hackers establish remote connections, disable security systems like Windows Defender, and program the device to operate between 1 am and 5 am. During this time, they steal login credentials and gather information about the device's RAM, CPU cores, and GPUs to configure the crypto miner optimally.The campaign, which began in December 2024, has affected numerous Russian users, particularly in industrial enterprises and engineering schools, with additional victims in Belarus and Kazakhstan. The origin of the group remains unclear, but Kaspersky notes that the phishing emails are composed in Russian and include archives with Russian filenames, suggesting that the primary targets are likely based in Russia or speak Russian. The hackers maintain a connection to the mining pool, sending requests every 60 seconds, and continuously refine their tactics, which include data exfiltration, deployment of remote access tools, and use of phishing sites for email account compromise.Kaspersky speculates that the Librarian Ghouls might be hacktivists, using hacking as a form of civil disobedience to promote a political agenda. This speculation is based on their reliance on legitimate third-party utilities rather than developing their own malicious binaries. The duration of the group's activity is uncertain, but another Russian cybersecurity firm, BI. ZONE, reported on November 23 that Rare Werewolf has been active since at least 2019. The ongoing cryptojacking campaign highlights the evolving tactics of cybercriminals and the importance of robust cybersecurity measures to protect against such threats.

De acordo com a Cointelegraph, o grupo de hackers conhecido como Librarian Ghouls, também referido como Rare Werewolf, comprometeu centenas de dispositivos russos para minerar criptomoeda em um esquema de cryptojacking. A empresa de cibersegurança Kaspersky relata que o grupo obtém acesso aos sistemas através de e-mails de phishing carregados com malware, disfarçados de documentos oficiais ou ordens de pagamento de organizações legítimas. Uma vez que um computador é infectado, os hackers estabelecem conexões remotas, desativam sistemas de segurança como o Windows Defender e programam o dispositivo para operar entre 1h e 5h. Durante esse tempo, eles roubam credenciais de login e coletam informações sobre a RAM do dispositivo, núcleos da CPU e GPUs para configurar o minerador de criptomoeda de forma otimizada.
A campanha, que começou em dezembro de 2024, afetou numerosos usuários russos, particularmente em empresas industriais e escolas de engenharia, com vítimas adicionais na Bielorrússia e no Cazaquistão. A origem do grupo permanece incerta, mas a Kaspersky observa que os e-mails de phishing são redigidos em russo e incluem arquivos com nomes de arquivos russos, sugerindo que os alvos principais provavelmente estão baseados na Rússia ou falam russo. Os hackers mantêm uma conexão com o pool de mineração, enviando solicitações a cada 60 segundos e refinando continuamente suas táticas, que incluem exfiltração de dados, implantação de ferramentas de acesso remoto e uso de sites de phishing para compromisso de contas de e-mail.
A Kaspersky especula que os Librarian Ghouls possam ser hacktivistas, usando hacking como uma forma de desobediência civil para promover uma agenda política. Essa especulação é baseada na sua dependência de utilitários de terceiros legítimos em vez de desenvolver seus próprios binários maliciosos. A duração da atividade do grupo é incerta, mas outra empresa russa de cibersegurança, BI. ZONE, relatou em 23 de novembro que o Rare Werewolf está ativo desde pelo menos 2019. A campanha de cryptojacking em andamento destaca as táticas em evolução dos cibercriminosos e a importância de medidas robustas de cibersegurança para proteger contra tais ameaças.

Campanha de Cryptojacking Alvo Dispositivos Russos, Minerando Criptomoeda

Últimas Notícias