Криптоджекинг – общее название для такого типа атак с применением скрытого майнинга. Как правило, он работает путем установки вредоносного ПО, использующего вычислительную мощность компьютера для майнинга криптовалют без согласия или ведома владельца.
Впервые масштабную криптоджекинговую кампанию обнаружили в апреле. Проследив ее происхождение и прогресс, Guardicore Labs пришли к выводу, что за последние четыре месяца вредоносное ПО заразило до 50 000 серверов Windows MS-SQL и PHPMyAdmin во всем мире. Аналитики датировали начало атак концом февраля, отмечая стремительное расширение кампании со скоростью «семьсот новых жертв в день». С 13 апреля по 13 мая число зараженных серверов удвоилось и составило 47 985.
Guardicore Labs отмечает, что эта вредоносная кампания не является типичной для атак крипто-майнеров, поскольку опирается на методы, обычно встречающиеся в продвинутых группах постоянных угроз, включая поддельные сертификаты и эксплойты для повышения привилегий.
Исследователи прозвали кампанию «Nansh0u» в честь строки текстового файла, якобы используемой на серверах злоумышленника. Предполагается, что преступники имеют отношение к Китаю, поскольку используемые ими средства для создания вредоносных программ были написаны на китайском языке программирования EPL. Кроме того, по сообщениям, ряд файлов журналов и двоичных файлов на серверах содержал китайские строки.
«Зараженные машины включают более 50 000 серверов, принадлежащих компаниям в секторах здравоохранения, телекоммуникаций, медиа и ИТ. После взлома целевые серверы были заражены вредоносными данными. Они, в свою очередь, удалили внешний крипто-майнер и установили сложный руткит в режиме ядра, чтобы предотвратить уничтожение вредоносного ПО».
С точки зрения географического распространения, большинство пострадавших зарегистрировано в Китае, Соединенных Штатах и ??
Индии, хотя, как полагают, эта угроза распространилась по 90 странам. В отчете отмечается, что точную прибыльность этого криптоджекинга определить сложнее, поскольку добываемые средства выражены в малораспространенной анонимной криптовалюте Turtlecoin.
В качестве предупреждения для организаций исследователи подчеркнули, что «эта кампания еще раз демонстрирует, что общие пароли по-прежнему являются самым слабым звеном в современных потоках атак».
Trend Micro: и снова Monero
Тем временем другая известная компания, специализирующаяся в области кибербезопасности, Trend Micro объявила, что обнаружила вредоносное ПО под названием BlackSquid, которое заражает веб-серверы, использующие восемь различных способов обеспечения безопасности, и устанавливает программное обеспечение для майнинга. Но в этот раз киберпреступники сделали выбор в пользу излюбленной криптовалюты хакеров Monero (XMR), исторически более распространённой цели для скрытого майнинга.
Согласно отчету, вредоносная программа нацелена на веб-серверы, сетевые диски и съемные диски, используя восемь различных атак с использованием взлома и взлома. Точнее, в рассматриваемом программном обеспечении используются: «EternalBlue; DoublePulsar; эксплойты для CVE-2014-6287, CVE-2017-12615 и CVE-2017-8464; и три эксплойта ThinkPHP для нескольких версий».
В то время как образец, полученный компанией Trend Micro, устанавливает программное обеспечение для майнинга на базе центрального процессора XMRig monero (XMR), BlackSquid также может воровать другие полезные данные в будущем. Зловред может заразить систему тремя различными способами: через веб-сайт, размещенный на зараженном сервере, эксплойты и съемные или сетевые диски. BlackSquid также отменяет протокол заражения, если обнаруживает, что имя пользователя, драйвер устройства или модель дисковода предполагают, что программное обеспечение работает в среде «песочницы», то есть находится под контролем регуляторов или специалистов кибербезопасности.
Согласно данным Trend Micro, большинство случаев заражения вредоносным ПО были обнаружены в Таиланде и США.
Потенциальный переход Monero на новый алгоритм proof-of-work в октябре этого года якобы затруднит сокрытие злонамеренных попыток майнинга. Но до тех пор мы еще не раз услышим об атаках хакеров на пользовательские мощности с целью урвать еще XMR напоследок.
