Työntekijät haittaohjelmien analyysiyritys Intezer on mukaan yksi Blogikirjoituss löysi uuden madon, joka hyökkää Linux- ja Windows-palvelimille ja käyttää niiden laskentatehoa kryptovaluutta Moneron louhimiseen. Pääsääntöisesti Moneroa, toisin kuin monia muita kryptovaluuttoja, ei lasketa erityisellä Asicsilla, vaan tavanomaisilla näytönohjaimilla ja suorittimilla. Kaapatut x86-palvelimet tuottavat siis paljon.
Intezerin mukaan matoa levitetään ja ohjataan keskitetysti komento- ja hallintapalvelimen kautta. Säännöllinen Päivitykset palvelimella viittaavat siihen, että kaivosverkkoa hallinnoi aktiivinen hakkeriryhmä.
MySQL, Tomcat ja Jenkins hyökkäysvektoreina
Mato leviää julkisesti näkyvien palveluiden rajapintojen kautta, kuten esim. MySQLTomcat ja Jenkins (portit 8080, 7001 ja 3306). Mato yrittää arvailla näiden palvelujen heikkoja salasanoja käyttämällä brute force -hyökkäystä. Aluksi käytetään sanakirjamallia, jossa usein käytetyt salasanat testataan ensisijaisesti.
Heti kun haittaohjelma on saanut salasanan selville, Bashin tai Powershellin kautta levitetään dropper-skripti, joka asentaa MXRig-louhintaohjelman. Lisäksi mato yrittää sen jälkeen - itsenäinen ammatinharjoittaja tartunnan saaneen palvelimen verkossa, jotta se voi hyödyntää lisää resursseja kryptominingiin. Tällä hetkellä virustorjuntaohjelmat eivät havaitse haittaohjelmaa, joten se on Intezerin mukaan erittäin vaarallinen.
Siksi vain vahvat salasanat ja mahdollisuuksien mukaan kaksitekijätodennus voivat tarjota suojaa. Tietoturvayhtiö suosittelee myös käyttämättömien palveluiden sammuttamista ja tarvittavien palveluiden saatavuuden rajoittamista ulkopuolelta. Lisäksi Intezerin mukaan ajan tasalla pidetyt ohjelmistot voivat usein estää haittaohjelmatartunnan.
