Töötajad pahavara analüüsi firma Intezer on vastavalt ühe Blogipostituss avastas uue uss, mis ründab Linuxi ja Windowsi servereid, et kasutada nende arvutusvõimsust krüptoraha Monero kaevandamiseks. Reeglina ei arvutata Monero, erinevalt paljudest teistest krüptovaluutadest, mitte spetsiaalsete Asics, vaid tavaliste GPUde ja CPUde abil. Kaaperdatud x86-serverid saavutavad seega suure tootluse.
Intezeri andmetel levitatakse ja kontrollitakse ussit tsentraalselt käsu- ja kontrollserveri kaudu. Tavaline Uuendused serveris viitavad sellele, et kaevandusvõrku haldab aktiivne häkkerirühm.
MySQL, Tomcat ja Jenkins kui ründevektorid
Nõiavamm levib avalikult nähtavate teenuste liideste kaudu, nagu näiteks MySQLTomcat ja Jenkins (porte nagu 8080, 7001 ja 3306). Kasutades brute force rünnakut, üritab uss ära arvata nende teenuste nõrgad paroolid. Esialgu kasutatakse sõnastikumeetodit, mille puhul testitakse sagedamini kasutatavaid paroole esmajärjekorras.
Niipea kui pahavara on parooli teada saanud, levitatakse Bash'i või Powershelli kaudu dropper-skripti, mis installib MXRig-i kaevandaja. Lisaks sellele püüab uss siis püüda sõltumatu nakatunud serveri võrgus, et saaks kasutada edasisi ressursse krüptomineerimiseks. Praegu ei tuvasta viirusetõrjetarkvara pahavara ja on seetõttu Intezeri sõnul väga ohtlik.
Seetõttu saab kaitset pakkuda ainult tugevad paroolid ja võimaluse korral kahefaktoriline autentimine. Turvaettevõte soovitab ka välja lülitada teenused, mida ei kasutata, ja piirata vajalike teenuste ligipääsu väljastpoolt. Lisaks sellele võib Intezeri sõnul ajakohastatud tarkvara sageli vältida pahavara nakatumist.
