Mitarbeiter des Malware-Analyse-Unternehmens Intezer haben laut eines Blogbeitrags einen neuen Wurm entdeckt, dass Linux- und Windowsserver angreift, um deren Rechenleistung zum Minen der Kryptowährung Monero zu verwenden. In der Regel wird Monero im Gegensatz zu vielen anderen Kryptowährungen nicht mit speziellen Asics, sondern herkömmlichen GPUs und CPUs berechnet. Die gekaperten x86-Server erreichen deshalb eine hohe Ausbeute.
Laut Intezer wird der Wurm zentralen über einen Command-and-Control-Server verteilt und gesteuert. Regelmäßige Updates am Server lassen darauf schließen, dass das Mining-Netzwerk von einer aktiven Hacking-Gruppe administriert wird.
MySQL, Tomcat und Jenkins als Angriffsvektoren
Die Verbreitung des Wurms erfolgt über öffentlich einsehbare Schnittstellen von Diensten wie MySQL, Tomcat und Jenkins (Ports wie 8080, 7001 und 3306). Per Brute-Force-Attacke versucht der Wurm schwache Passwörter dieser Dienste zu erraten. Anfangs wird dabei ein Dictionary-Ansatz verwendet, bei dem häufig genutzte Passwörter priorisiert getestet werden.
Sobald die Malware ein Passwort herausgefunden hat, wird per Bash oder Powershell ein Dropper-Script verteilt, das einen MXRig-Miner installiert. Außerdem versucht der Wurm sich anschließend selbstständig im Netzwerk des infizierten Servers zu verbreiten, um weitere Ressourcen zum Kryptomining anzapfen zu können. Derzeit wird die Malware vonAntivirensoftware nicht erkannt und ist laut Intezer deshalb sehr gefährlich.
Schützen können deshalb nur starke Passwörter und wenn möglich eine Zweifaktor-Authentifizierung, Das Sicherheitsunternehmen empfiehlt außerdem nicht genutzte Dienste abzuschalten und die Erreichbarkeit benötigter Dienste von außen einzuschränken. Überdies kann laut Intezer auch aktuell gehaltene Software häufig eine Infektion mit Malware verhindern.