Los empleados de la empresa de análisis de malware Intezer tienen, según un Entrada en el blog...s ha descubierto un nuevo gusano que ataca servidores Linux y Windows con el fin de utilizar su potencia de cálculo para minar la criptomoneda Monero. Por regla general, Monero, a diferencia de muchas otras criptodivisas, no se calcula con Asics especiales, sino con GPUs y CPUs convencionales. Por lo tanto, los servidores x86 secuestrados obtienen un alto rendimiento.
De acuerdo con Intezer, el gusano está distribuido centralmente y controlado a través de un servidor de comando y control. Regular Actualizaciones en el servidor sugieren que la red de minería es administrada por un grupo de hackers activo.
MySQL, Tomcat y Jenkins como vectores de ataque
El gusano se propaga a través de interfaces públicamente visibles de servicios como MySQLTomcat y Jenkins (puertos como 8080, 7001 y 3306). El gusano intenta adivinar las contraseñas débiles de estos servicios mediante un ataque de fuerza bruta. Inicialmente, se utiliza un enfoque de diccionario, en el que se prueban las contraseñas de uso frecuente de forma prioritaria.
Una vez que el malware ha descubierto una contraseña, distribuye un guión de cuentagotas mediante bash o powerhell que instala un minero MXRig. Además, el gusano intenta entonces independiente en la red del servidor infectado con el fin de aprovechar más recursos para la criptografía. Actualmente, el malware no es detectado por el software antivirus y por lo tanto es muy peligroso, según Intezer.
Por lo tanto, sólo las contraseñas fuertes y, de ser posible, la autenticación de dos factores pueden proporcionar protección. La empresa de seguridad también recomienda desconectar los servicios que no se utilizan y restringir la accesibilidad de los servicios requeridos desde el exterior. Además, según Intezer, el software que se mantiene actualizado a menudo puede prevenir la infección con malware.
