Более 50 000 серверов потенциально заражены ПО для скрытого майнинга

5 июня

Киберпреступники пробуют разные альткоины, пытаясь найти альтернативу Monero в свете грядущего усложнения майнинга.

29 мая международная группа экспертов по хакингу и кибербезопасности Guardicore Labs опубликовала анализ, согласно которому около 50 000 серверов по всему миру были заражены передовым вредоносным ПО, которое добывает криптовалюту с открытым исходным кодом Turtlecoin (TRTL).

Guardicore Labs: хакеры стреляют из крупнокалиберной пушки по маленьким альткоинам

Криптоджекинг – общее название для такого типа атак с применением скрытого майнинга. Как правило, он работает путем установки вредоносного ПО, использующего вычислительную мощность компьютера для майнинга криптовалют без согласия или ведома владельца.

Впервые масштабную криптоджекинговую кампанию обнаружили в апреле. Проследив ее происхождение и прогресс, Guardicore Labs пришли к выводу, что за последние четыре месяца вредоносное ПО заразило до 50 000 серверов Windows MS-SQL и PHPMyAdmin во всем мире. Аналитики датировали начало атак концом февраля, отмечая стремительное расширение кампании со скоростью «семьсот новых жертв в день». С 13 апреля по 13 мая число зараженных серверов удвоилось и составило 47 985.

Guardicore Labs отмечает, что эта вредоносная кампания не является типичной для атак крипто-майнеров, поскольку опирается на методы, обычно встречающиеся в продвинутых группах постоянных угроз, включая поддельные сертификаты и эксплойты для повышения привилегий.

Исследователи прозвали кампанию «Nansh0u» в честь строки текстового файла, якобы используемой на серверах злоумышленника. Предполагается, что преступники имеют отношение к Китаю, поскольку используемые ими средства для создания вредоносных программ были написаны на китайском языке программирования EPL. Кроме того, по сообщениям, ряд файлов журналов и двоичных файлов на серверах содержал китайские строки.

«Зараженные машины включают более 50 000 серверов, принадлежащих компаниям в секторах здравоохранения, телекоммуникаций, медиа и ИТ. После взлома целевые серверы были заражены вредоносными данными. Они, в свою очередь, удалили внешний крипто-майнер и установили сложный руткит в режиме ядра, чтобы предотвратить уничтожение вредоносного ПО».

С точки зрения географического распространения, большинство пострадавших зарегистрировано в Китае, Соединенных Штатах и ​​Индии, хотя, как полагают, эта угроза распространилась по 90 странам. В отчете отмечается, что точную прибыльность этого криптоджекинга определить сложнее, поскольку добываемые средства выражены в малораспространенной анонимной криптовалюте Turtlecoin.

В качестве предупреждения для организаций исследователи подчеркнули, что «эта кампания еще раз демонстрирует, что общие пароли по-прежнему являются самым слабым звеном в современных потоках атак».

Trend Micro: и снова Monero

Тем временем другая известная компания, специализирующаяся в области кибербезопасности, Trend Micro объявила, что обнаружила вредоносное ПО под названием BlackSquid, которое заражает веб-серверы, использующие восемь различных способов обеспечения безопасности, и устанавливает программное обеспечение для майнинга. Но в этот раз киберпреступники сделали выбор в пользу излюбленной криптовалюты хакеров Monero (XMR), исторически более распространённой цели для скрытого майнинга.

Согласно отчету, вредоносная программа нацелена на веб-серверы, сетевые диски и съемные диски, используя восемь различных атак с использованием взлома и взлома. Точнее, в рассматриваемом программном обеспечении используются: «EternalBlue; DoublePulsar; эксплойты для CVE-2014-6287, CVE-2017-12615 и CVE-2017-8464; и три эксплойта ThinkPHP для нескольких версий».

В то время как образец, полученный компанией Trend Micro, устанавливает программное обеспечение для майнинга на базе центрального процессора XMRig monero (XMR), BlackSquid также может воровать другие полезные данные в будущем. Зловред может заразить систему тремя различными способами: через веб-сайт, размещенный на зараженном сервере, эксплойты и съемные или сетевые диски. BlackSquid также отменяет протокол заражения, если обнаруживает, что имя пользователя, драйвер устройства или модель дисковода предполагают, что программное обеспечение работает в среде «песочницы», то есть находится под контролем регуляторов или специалистов кибербезопасности.

Согласно данным Trend Micro, большинство случаев заражения вредоносным ПО были обнаружены в Таиланде и США.

Потенциальный переход Monero на новый алгоритм proof-of-work в октябре этого года якобы затруднит сокрытие злонамеренных попыток майнинга. Но до тех пор мы еще не раз услышим об атаках хакеров на пользовательские мощности с целью урвать еще XMR напоследок.

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2019 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera