Засечен е нов злонамерен майнер на криптовалута, който се разпространява на сървъри под управление на Windows и Linux. За опасността съобщават експерти от компаниите за сигурност Check Point, Ixia и Certego.
RubyMiner се разпространява от една седмица и до момента са заразени около 700 сървъра. За достъп до Linux машини атакуващите използват програма за отдалечено определяне на версията на сървърния софтуер, наречена p0f. Когато открият стари, неподдържани версии на операционната система, атакуващите пускат общодостъпни експлойти за заразяване на сървърите с криптомайнера.
Към момента има данни за експлоатиране на уязвимости в Ruby on Rails, Microsoft IIS и пет дупки в PHP. Кодът на експлойта съдържа shell-команди, като при заразяване се изтриват всички предишни задачи, инициирани от cron, и се създава нова задача, която се пуска веднъж на всеки час и сваля от отдалечен ресурс скрипт, записван във файла robots.txt за различни домейни. Скриптът сваля и инсталира модифицирана версия на легитимния криптомайнер XMRig Monero.
Един от вредоносните домейни, използвани от киберпрестъпниците (lochjol.com), е в полезрението на компаниите за сигурност още от 2013 г. Чрез него се разпространява злонамерен софтуер, който използва уязвимостта CVE-2013-0156 в Ruby on Rails. Сегашните атаки се възползват от същата уязвимост.
В първите две седмици на 2018 г. специалистите по сигурност засякоха поне две кампании за заразяване на сървъри с криптомайнери. Така например, PyCryptoMiner атакува сървъри под Linux, докато друга група се прицелва срещу Oracle WebLogic машини.
Според експертите, атакуващите издирват занемарени, но все още работоспособни сървъри с остарял софтуер, администраторите на които отдавна са ги загърбили. Разпространителите на криминални криптомайнери са силно заинтересовани от сървърите, тъй като дори и достатъчно стари, те имат по-висока производителност, в сравнение с персоналните компютри.
До момента заработеното от заразените сървъри е малко – в електронните портфейли, обслужвани от RubyMiner, е добита криптовалута само за 540 долара. Но групировката, използваща експлойти за сървъри WebLogic, е заработила няколко хиляди долара от октомври 2017 г. досега.
3 коментара
Влизам да чета коментари.. 😀
“Един от вредоносните домейни, използвани от киберпрестъпниците (lochjol.com), е в полезрението на кибепрестъпниците още от 2013 г.” абе тва кой го писа, не е ли в полезрението на тези които се борят срещу кибер престъпниците,
другото “демона cron”, да не е май даемон ? от кога има демони в Линукс … или това е изказване на Стив Балмър…
ама като превеждате от английски поне си намерете свестни преводачи ….
Уиндоус е Операционна система, Линукс е ядро. Андроид е Операционна система с Линукс ядро, за това не трябва всяка система с Линукс ядро да се нарича Линукс. Операционната система е ГНУ в общия случай.