Ļaunprātīgu programmatūru analīzes uzņēmuma Intezer darbinieki saskaņā ar Bloga ierakstss atklāja jaunu tārpu, kas uzbrūk Linux un Windows serveriem, lai izmantotu to skaitļošanas jaudu kriptovalūtas Monero ieguvei. Parasti Monero, atšķirībā no daudzām citām kriptovalūtām, netiek aprēķināts, izmantojot īpašus Asics, bet gan parastos GPU un CPU. Tādējādi nolaupītie x86 serveri sasniedz augstu ienesīgumu.
Saskaņā ar Intezer datiem tārps tiek izplatīts un kontrolēts centralizēti, izmantojot komandu un kontroles serveri. Regulāri Atjauninājumi uz servera liecina, ka kalnrūpniecības tīklu pārvalda aktīva hakeru grupa.
MySQL, Tomcat un Jenkins kā uzbrukuma vektori
Tārps izplatās, izmantojot publiski redzamas pakalpojumu saskarnes, piemēram. MySQLTomcat un Jenkins (tādi porti kā 8080, 7001 un 3306). Izmantojot brutālā spēka uzbrukumu, tārps mēģina uzminēt šo pakalpojumu vājās paroles. Sākotnēji tiek izmantota vārdnīcas pieeja, kurā biežāk lietotās paroles tiek pārbaudītas prioritārā secībā.
Tiklīdz ļaunprogrammatūra ir noskaidrojusi paroli, ar Bash vai Powershell palīdzību tiek izplatīts dropper skripts, kas instalē MXRig miner. Turklāt tārps pēc tam mēģina neatkarīga inficētā servera tīklā, lai varētu izmantot turpmākus resursus kriptominingam. Pašlaik šo ļaunprātīgo programmatūru neatklāj antivīrusu programmatūra, tāpēc tā ir ļoti bīstama, norāda Intezer.
Tāpēc aizsardzību var nodrošināt tikai spēcīgas paroles un, ja iespējams, divu faktoru autentifikācija. Drošības uzņēmums arī iesaka izslēgt pakalpojumus, kas netiek izmantoti, un ierobežot nepieciešamo pakalpojumu pieejamību no ārpuses. Turklāt, kā norāda Intezer, atjaunināta programmatūra bieži var novērst ļaunprātīgu programmatūru inficēšanos.
