Zaposleni v podjetju Intezer, ki se ukvarja z analizo zlonamerne programske opreme, so po podatkih Prispevek na bloguje odkril novega črva, ki napada strežnike Linux in Windows ter njihovo računalniško moč uporablja za rudarjenje kriptovalute Monero. Monero se za razliko od številnih drugih kriptovalut praviloma ne izračunava s posebnimi procesorji Asics, temveč z običajnimi grafičnimi in centralnimi procesorji. Zato so ugrabljeni strežniki x86 zelo donosni.
Po navedbah Intezerja se črv distribuira in nadzoruje centralno prek strežnika za ukazovanje in nadzor. Redno Posodobitve v strežniku kažejo, da rudarsko omrežje upravlja aktivna hekerska skupina.
MySQL, Tomcat in Jenkins kot vektorji napada
Črv se širi prek javno vidnih vmesnikov storitev, kot so MySQLTomcat in Jenkins (vrata, kot so 8080, 7001 in 3306). Črv z napadom z grobo silo poskuša uganiti šibka gesla teh storitev. Na začetku se uporabi slovarski pristop, pri katerem se prednostno preverjajo pogosto uporabljena gesla.
Ko zlonamerna programska oprema ugotovi geslo, se prek orodij Bash ali Powershell razpošlje skripta, ki namesti rudar MXRig. Poleg tega črv poskuša samozaposleni v omrežju okuženega strežnika, da bi lahko izkoristili dodatne vire za kriptovalute. Po navedbah Intezerja zlonamerne programske opreme trenutno ne zaznajo, zato je zelo nevarna.
Zato lahko zaščito zagotavljajo le močna gesla in, če je mogoče, dvofaktorska avtentikacija. Varnostno podjetje priporoča tudi izklop storitev, ki se ne uporabljajo, in omejitev zunanjega dostopa do potrebnih storitev. Poleg tega lahko po mnenju Intezerja posodobljena programska oprema pogosto prepreči okužbo z zlonamerno programsko opremo.
