SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Скрытый майнер RubyMiner поражает устаревшие серверы

18 января 2018 г., четверг, 06:31

Злоумышленники используют непропатченные Windows- и Linux-серверы, чтобы майнить Monero.

Исследователи обнаружили новый майнер, который нацелен на Windows- и Linux- серверы с устаревшим ПО. Зловред, названный RubyMiner, добывает криптовалюту Monero и уже поразил около 700 машин. На данный момент известно, что RubyMiner успел добыть количество криптовалюты, эквивалентное $700.

Эксперты Check Point и Certego опубликовали отчет, согласно которому первые атаки начались 9-10 января. Многие злоумышленники занимаются установкой майнеров для скрытой добычи криптовалюты, но RubyMiner выделяется на фоне подобных программ: он использует инструмент поиска давно не обновляемых серверов, находит уязвимости и затем атакует бреши довольно старыми и всем известными эксплойтами. В результате атаки хакеры получают контроль над машиной и устанавливают вредоносное ПО.

Аналитики из Check Point сумели изучить образец RubyMiner, атакующий Linux-серверы, но пока не получили в свое распоряжение Windows-версию. Они обратили внимание на некоторые особенности доступного кода: он удаляет все задания из крона — программы-демона, использующейся для выполнения заданий в определенное время в UNIX-системах. Затем в кроне инициируется новое задание, исполняемое с периодичностью раз в час — загрузка скрипта из Интернета. Скрипт, в свою очередь, хранится в файлах robots.txt и загружает модифицированную версию майнера XMRig.

Специалисты полагают, что, несмотря на более высокую эффективность недавно открытых эксплойтов, злоумышленники избрали другую тактику. При детектировании эксплойта 10-летней давности защитные решения точно оповестят администраторов серверов, но в случае с давно не обновляемыми серверами велика вероятность, что администраторы «забросили» эти машины и забыли, что они все еще доступны из сети. В этом случае майнер может работать довольно долго, не опасаясь реакции со стороны IT-персонала.

Исследователи также отметили, что обнаруженный во время анализа домен, откуда происходит загрузка вредоносного скрипта, уже фигурировал в кибератаке 2013 года, в ходе которой использовался тот же эксплойт, что и для распространения RubyMiner. Вероятно, за обеими кампаниями стоит одна и та же группировка.

Скрытая добыча криптовалюты приобретает популярность среди киберпреступников. Только за последние несколько месяцев стало известно о ряде кампаний, нацеленных на добычу Monero. В начале января был обнаружен основанный на языке Python ботнет PyCryptoMiner, который добыл криптовалюту на сумму, эквивалентную 60 тыс. долларов. В декабре создатели майнера Zealot провели масштабную атаку на серверы с незакрытой уязвимостью, используя инструментарий АНБ США, и добыли криптовалюту на сумму $8,5 тысяч. Кроме того, в декабре на WordPress прошла масштабная брутфорс-атака, целью которой также был майнинг Monero.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.072
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.