Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Злоумышленники используют непропатченные Windows- и Linux-серверы, чтобы майнить Monero.
Исследователи обнаружили новый майнер, который нацелен на Windows- и Linux- серверы с устаревшим ПО. Зловред, названный RubyMiner, добывает криптовалюту Monero и уже поразил около 700 машин. На данный момент известно, что RubyMiner успел добыть количество криптовалюты, эквивалентное $700.
Эксперты Check Point и Certego опубликовали отчет, согласно которому первые атаки начались 9-10 января. Многие злоумышленники занимаются установкой майнеров для скрытой добычи криптовалюты, но RubyMiner выделяется на фоне подобных программ: он использует инструмент поиска давно не обновляемых серверов, находит уязвимости и затем атакует бреши довольно старыми и всем известными эксплойтами. В результате атаки хакеры получают контроль над машиной и устанавливают вредоносное ПО.
Аналитики из Check Point сумели изучить образец RubyMiner, атакующий Linux-серверы, но пока не получили в свое распоряжение Windows-версию. Они обратили внимание на некоторые особенности доступного кода: он удаляет все задания из крона — программы-демона, использующейся для выполнения заданий в определенное время в UNIX-системах. Затем в кроне инициируется новое задание, исполняемое с периодичностью раз в час — загрузка скрипта из Интернета. Скрипт, в свою очередь, хранится в файлах robots.txt и загружает модифицированную версию майнера XMRig.
Специалисты полагают, что, несмотря на более высокую эффективность недавно открытых эксплойтов, злоумышленники избрали другую тактику. При детектировании эксплойта 10-летней давности защитные решения точно оповестят администраторов серверов, но в случае с давно не обновляемыми серверами велика вероятность, что администраторы «забросили» эти машины и забыли, что они все еще доступны из сети. В этом случае майнер может работать довольно долго, не опасаясь реакции со стороны IT-персонала.
Исследователи также отметили, что обнаруженный во время анализа домен, откуда происходит загрузка вредоносного скрипта, уже фигурировал в кибератаке 2013 года, в ходе которой использовался тот же эксплойт, что и для распространения RubyMiner. Вероятно, за обеими кампаниями стоит одна и та же группировка.
Скрытая добыча криптовалюты приобретает популярность среди киберпреступников. Только за последние несколько месяцев стало известно о ряде кампаний, нацеленных на добычу Monero. В начале января был обнаружен основанный на языке Python ботнет PyCryptoMiner, который добыл криптовалюту на сумму, эквивалентную 60 тыс. долларов. В декабре создатели майнера Zealot провели масштабную атаку на серверы с незакрытой уязвимостью, используя инструментарий АНБ США, и добыли криптовалюту на сумму $8,5 тысяч. Кроме того, в декабре на WordPress прошла масштабная брутфорс-атака, целью которой также был майнинг Monero.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |