hotline

Félmilliónál is több Monero-val fertőzőtt Windows

Michael Hill cikke nyomán az InfoSecurity Magazine oldaláról

526 ezernél is több Windows hosztot – főleg Windows szervereket – fertőzött meg egy Smominru néven is ismert Monero bányászó program, áll a Proofpoint kutatóinak jelentésében.

A Proofpoint saját weboldalán található egyik blogbejegyzése szerint a bányászprogramot 2017 májusa óta figyelik, amely az EternalBlues exploit használatával terjed, és amíg a Smominrut elég jól dokumentálták, WMI használata szokatlan egy valutabányász kártevőtől.

“A művelet Monero fizetési címmel társítható hash ereje alapján úgy tűnt, hogy ez a botnet valószínűleg az Adylkuzz méretének kétszerese” – írja a blog. “A működtetők nagyjából már 8900 Monerot bányásztak ki (ezen a héten ennek értéke 2,8 millió és 3,16 millió dollár közé esik). Minden egyes nap a botnet nagyjából 24 Monerot bányászott ki, amely ezen a héten átlagban 8,500 dollárt jelent.”

Legalább 25 hoszt vett részt a támadásban az EternalBlue-n keresztül (CVE-2017-0144 SMB), hogy új csomópontokat fertőzzenek meg és növeljék a botnet méretét, és a Proofpoint hozzátette, hogy a hosztok látszólag az AS63199 hálózati autonóm rendszer mögött ülnek.

“Más kutatók szintén jelentettek támadásokat SQL Szerveren keresztül, és úgy hisszük, hogy a működtetők valószínűleg az EsteemAudit (CVE-2017-0176 RDP) sérülékenységet használják, mint a legtöbb egyéb EternalBlue támadó. A botnet C&C infrastruktúráját a SharkTech mögött hosztolják, akiket mi már értesítettünk a visszaélésről, de még nem kaptunk tőlük rá választ.”

A Proofpoint figyelmeztetett, hogy ennek a botnetnek a működtetői állandóak, az összes elérhető exploitot felhasználják, hogy kiterjesszék botnetjüket és számos módot találtak arra, hogy visszaállítsák sinkhole műveletek után.

“Mivel úgy tűnik, hogy a csomópontok nagyrésze ebben a botnetben Windows szerver, a teljesítmény kihatás a potenciális kritikus üzleti infrastruktúrára magas lehet, úgy a szerverek megnövekedett energia használatának költsége is azáltal, hogy kapacitás határukhoz nagyon közel járnak.”

“A kriptovaluta bányászó kártevők a támadók kedvenc működtetési módjává válik, függetlenül a célpontjuktól” – mondta Nadav Avital, az Imperva biztonsági kutatója. “Elemzésünk is azt mutatja, hogy a támadók az anonim kriptovalutákat favorizálják, amelyekből a Monero a legprominensebb. A kriptovaluták azért népszerűek, mert biztonságosak, privátok és nehéz őket nyomonkövetni. Mivel sok szervert nem frissítenek vagy patchelnek rendszeres időközönként, a támadóknak sokkal nagyobb esélyeik vannak a sikerre.”

További információ angol nyelven