Anställda på malwareanalysföretaget Intezer har, enligt en Blogginläggs har upptäckt en ny mask som angriper Linux- och Windows-servrar för att använda deras datorkraft för att bryta kryptovalutan Monero. Som regel beräknas Monero, till skillnad från många andra kryptovalutor, inte med speciella Asics, utan med konventionella GPU:er och CPU:er. De kapade x86-servrarna ger därför en hög avkastning.
Enligt Intezer distribueras och kontrolleras masken centralt via en kommando- och kontrollserver. Regelbunden Uppdateringar på servern tyder på att gruvnätverket administreras av en aktiv hackergrupp.
MySQL, Tomcat och Jenkins som angreppsvektorer
Masken sprids via allmänt synliga gränssnitt för tjänster som t.ex. MySQLTomcat och Jenkins (portar som 8080, 7001 och 3306). Med hjälp av en brute force-attack försöker masken gissa svaga lösenord för dessa tjänster. Inledningsvis används en ordboksmetod där ofta använda lösenord testas med prioritet.
Så snart skadlig kod har fått reda på ett lösenord distribueras ett dropper-skript via Bash eller Powershell, som installerar en MXRig-miner. Dessutom försöker masken sedan att oberoende i den infekterade serverns nätverk för att kunna utnyttja ytterligare resurser för kryptomining. För närvarande upptäcks skadlig kod inte av antivirusprogram och är därför mycket farlig, enligt Intezer.
Därför kan endast starka lösenord och om möjligt tvåfaktorsautentisering ge skydd. Säkerhetsföretaget rekommenderar också att man stänger av tjänster som inte används och begränsar tillgången till nödvändiga tjänster utifrån. Enligt Intezer kan dessutom programvara som hålls uppdaterad ofta förhindra infektion med skadlig programvara.
