Cryptojacking Campaign Targets Russian Devices, Mining Cryptocurrency

Binance News · 2025-06-11T06:03:37.000Z

According to Cointelegraph, the hacker group known as Librarian Ghouls, also referred to as Rare Werewolf, has compromised hundreds of Russian devices to mine cryptocurrency in a cryptojacking scheme. Cybersecurity firm Kaspersky reports that the group gains access to systems through phishing emails laden with malware, masquerading as official documents or payment orders from legitimate organizations. Once a computer is infected, the hackers establish remote connections, disable security systems like Windows Defender, and program the device to operate between 1 am and 5 am. During this time, they steal login credentials and gather information about the device's RAM, CPU cores, and GPUs to configure the crypto miner optimally.The campaign, which began in December 2024, has affected numerous Russian users, particularly in industrial enterprises and engineering schools, with additional victims in Belarus and Kazakhstan. The origin of the group remains unclear, but Kaspersky notes that the phishing emails are composed in Russian and include archives with Russian filenames, suggesting that the primary targets are likely based in Russia or speak Russian. The hackers maintain a connection to the mining pool, sending requests every 60 seconds, and continuously refine their tactics, which include data exfiltration, deployment of remote access tools, and use of phishing sites for email account compromise.Kaspersky speculates that the Librarian Ghouls might be hacktivists, using hacking as a form of civil disobedience to promote a political agenda. This speculation is based on their reliance on legitimate third-party utilities rather than developing their own malicious binaries. The duration of the group's activity is uncertain, but another Russian cybersecurity firm, BI. ZONE, reported on November 23 that Rare Werewolf has been active since at least 2019. The ongoing cryptojacking campaign highlights the evolving tactics of cybercriminals and the importance of robust cybersecurity measures to protect against such threats.

Conform Cointelegraph, grupul de hackeri cunoscut sub numele de Librarian Ghouls, denumit și Rare Werewolf, a compromis sute de dispozitive rusești pentru a mina criptomonede într-o schemă de cryptojacking. Firma de securitate cibernetică Kaspersky raportează că grupul obține acces la sisteme prin e-mailuri de phishing încărcate cu malware, deghizate în documente oficiale sau ordine de plată de la organizații legitime. Odată ce un computer este infectat, hackerii stabilesc conexiuni la distanță, dezactivează sistemele de securitate precum Windows Defender și programează dispozitivul să funcționeze între orele 1 și 5 dimineața. În acest timp, fură datele de autentificare și adună informații despre memoria RAM, nucleele procesorului și plăcile grafice ale dispozitivului pentru a configura optim minerul de criptomonede.
Campania, care a început în decembrie 2024, a afectat numeroși utilizatori ruși, în special din întreprinderi industriale și școli de inginerie, cu victime suplimentare în Belarus și Kazahstan. Originea grupului rămâne neclară, dar Kaspersky observă că e-mailurile de phishing sunt compuse în limba rusă și includ arhive cu nume de fișiere rusești, ceea ce sugerează că țintele principale se află probabil în Rusia sau vorbesc limba rusă. Hackerii mențin o conexiune la pool-ul de mining, trimițând cereri la fiecare 60 de secunde și își perfecționează continuu tacticile, care includ exfiltrarea datelor, implementarea de instrumente de acces la distanță și utilizarea site-urilor de phishing pentru compromiterea conturilor de e-mail.
Kaspersky speculează că Librarian Ghouls ar putea fi hackeri activiști, folosind hacking-ul ca formă de nesupunere civilă pentru a promova o agendă politică. Această speculație se bazează pe dependența lor de utilități terțe legitime, mai degrabă decât pe dezvoltarea propriilor fișiere binare malițioase. Durata activității grupului este incertă, dar o altă firmă rusească de securitate cibernetică, BI.ZONE, a raportat pe 23 noiembrie că Rare Werewolf este activ cel puțin din 2019. Campania de cryptojacking în curs de desfășurare evidențiază tacticile în continuă evoluție ale infractorilor cibernetici și importanța unor măsuri robuste de securitate cibernetică pentru a proteja împotriva unor astfel de amenințări.

Campania de cryptojacking vizează dispozitivele rusești și minează criptomonede

Ultimele știri