Kenkėjiškų programų analizės bendrovės "Intezer" darbuotojai, remdamiesi Tinklaraščio įrašass aptiko naują kirminą, kuris atakuoja "Linux" ir "Windows" serverius, siekdamas panaudoti jų skaičiavimo galią kriptovaliutai "Monero" kasti. Paprastai "Monero", skirtingai nei daugelis kitų kriptovaliutų, apskaičiuojamas ne specialiais "Asics", o įprastais GPU ir CPU. Todėl pagrobtų x86 serverių pelningumas yra didelis.
Pasak "Intezer", kirminas platinamas ir valdomas centralizuotai per komandų ir valdymo serverį. Įprasta Atnaujinimai serveryje rodo, kad kasybos tinklą administruoja aktyvi įsilaužėlių grupė.
"MySQL", "Tomcat" ir "Jenkins" kaip atakų vektoriai
Kirminas plinta per viešai matomas paslaugų sąsajas, pvz. "MySQL""Tomcat" ir "Jenkins" (tokie prievadai kaip 8080, 7001 ir 3306). Naudodamasis grubios jėgos ataka, kirminas bando atspėti silpnus šių paslaugų slaptažodžius. Iš pradžių naudojamas žodyno metodas, kai dažnai naudojami slaptažodžiai tikrinami prioriteto tvarka.
Kai tik kenkėjiška programa sužino slaptažodį, per "Bash" arba "Powershell" išplatinamas "Bash" arba "Powershell" skriptas, kuriame įdiegiamas "MXRig" kalnakasybos įrenginys. Be to, kirminas bando savarankiškai dirbantys užkrėsto serverio tinkle, kad būtų galima pasinaudoti tolesniais kriptovaliutų gavybos ištekliais. Pasak "Intezer", šiuo metu kenkėjiškos programos neaptinka antivirusinė programinė įranga, todėl ji yra labai pavojinga.
Todėl apsaugą gali užtikrinti tik stiprūs slaptažodžiai ir, jei įmanoma, dviejų veiksnių autentifikavimas. Saugumo bendrovė taip pat rekomenduoja išjungti nenaudojamas paslaugas ir apriboti reikiamų paslaugų prieinamumą iš išorės. Be to, pasak "Intezer", atnaujinama programinė įranga dažnai padeda išvengti užsikrėtimo kenkėjiškomis programomis.
