Стотици системи били впрегнати да копаят Monero

0
1011

Компанията за информационна сигурност Proofpoint е открила нова кампания, която превзема машини, основно сървъри, след което ги организира в ботнет за добиване на Monero. Към настоящия момент над 526 000 Windows системи по цял свят са били инфектирани като една немалка част от тях са в Русия, Индия и Тайван, пишат авторите на доклада.

Ботнетът, който Proofpoint кръстят Smominru инфектира машините с копач на Monero, познат като Ismo и атакуващ машини от май миналата година. Той подчинява системите посредством порт 445 и EternalBlue, експлойтът на Агенцията за национална сигурност на САЩ (АНС) за една от уязвимостите в SMB протокола (CVE-2017-0144), запушена от Microsoft през пролетта на миналата година. Proofpoint отбелязват, че по техни наблюдения престъпниците досега са успели да заработят близо $8900 Monero монети (близо $2.3 млн. към настоящия курс на криптовалутата).

Prrofpoint намира връзка на Smominru с друга подобна кампания, разкрита от NetLab преди седмица и кръстена MyKings. Те провеждат атаките си посредством MySQL, както и чрез използването на още един експлойт на АНС – EsteemAudit (CVE-2017-0176). Както проучванията на NetLab, така и на Proofpoint,водят към доклад на GuardiCore на Hex Men, групировка, използваща три различни тип зловредни програми, за да атакува SQL сървъри. Що се отнася до настоящата кампания, то организаторите използвали инфраструктурата на компанията SharkTech, за което Proofpoint ги информира своевременно. Те се свързват същ така и с Mine XMR, популярната услуга, позволяваща добив на Monero. От Mine XMR са блокирали портфейла на групировката зад Smominru. Все пак обаче те са успели сравнително бързо да регистрират нов адрес. „Операторите на този ботнет са упорити, използват всички им достъпни експлойти, за да развият ботнет мрежата си и са открили множество начини да възстановяват дейността си след прекратяване на операциите им“, отбелязват Proofpoint.

Предвижданията на специалисти за тенденциите на киберпрестъпниците се сбъдват и все повече от тях се преориентират от доставянето на рансъмуер към копачи на криптовалути. По-рано тази седмица ви съобщихме за още една заплаха, използваща един от експлойтите на АНС, за да се разпространява лесно в мрежата на атакуваните системи – крипточервея с името WannaMine.

Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари