Zamestnanci spoločnosti Intezer, ktorá sa zaoberá analýzou malvéru, podľa Príspevok na blogus objavili nového červa, ktorý napáda servery Linux a Windows s cieľom využiť ich výpočtový výkon na ťažbu kryptomeny Monero. Monero sa na rozdiel od mnohých iných kryptomien spravidla nevypočítava pomocou špeciálnych Asics, ale bežných GPU a CPU. Unesené servery x86 preto dosahujú vysoký výnos.
Podľa spoločnosti Intezer je červ distribuovaný a riadený centrálne prostredníctvom príkazového a riadiaceho servera. Pravidelné Aktualizácie na serveri naznačujú, že ťažobnú sieť spravuje aktívna hackerská skupina.
MySQL, Tomcat a Jenkins ako vektory útoku
Červ sa šíri cez verejne viditeľné rozhrania služieb, ako napr. MySQLTomcat a Jenkins (porty ako 8080, 7001 a 3306). Pomocou útoku hrubou silou sa červ snaží uhádnuť slabé heslá týchto služieb. Spočiatku sa používa slovníkový prístup, pri ktorom sa prioritne testujú často používané heslá.
Hneď ako škodlivý softvér zistí heslo, prostredníctvom programov Bash alebo Powershell sa distribuuje dropper skript, ktorý nainštaluje miner MXRig. Okrem toho sa červ snaží nezávislé v sieti infikovaného servera, aby bolo možné využívať ďalšie zdroje na ťažbu kryptomien. Podľa spoločnosti Intezer tento škodlivý softvér v súčasnosti nie je detekovaný antivírusovým softvérom, a preto je veľmi nebezpečný.
Ochranu preto môžu zabezpečiť len silné heslá a, ak je to možné, dvojfaktorová autentifikácia. Bezpečnostná spoločnosť tiež odporúča vypnúť služby, ktoré sa nepoužívajú, a obmedziť prístup k požadovaným službám zvonku. Podľa spoločnosti Intezer môže aktualizovaný softvér často zabrániť infekcii škodlivým softvérom.
