Стотици системи били впрегнати да копаят Monero
Компанията за осведомителна сигурност Proofpoint е разкрила нова акция, която завладява машини, главно сървъри, след което ги провежда в ботнет за извличане на Monero. Към сегашния миг над 526 000 Windows системи по целия свят са били инфектирани като една немалка част от тях са в Русия, Индия и Тайван, пишат създателите на отчета.
Ботнетът, който Proofpoint кръстят Smominru инфектира машините с копач на Monero, прочут като Ismo и атакуващ машини от май предходната година. Той подчинява системите чрез порт 445 и EternalBlue, експлойтът на Агенцията за национална сигурност на Съединени американски щати (АНС) за една от уязвимостите в SMB протокола (CVE-2017-0144), запушена от Microsoft напролет на предходната година. Proofpoint означават, че по техни наблюдения нарушителите до момента са съумели да проработят близо $8900 Monero монети (близо $2.3 млн. към сегашния курс на криптовалутата).
Prrofpoint намира връзка на Smominru с друга сходна акция, разкрита от NetLab преди седмица и кръстена MyKings. Те организират офанзивите си чрез MySQL, както и посредством потреблението на още един експлойт на АНС – EsteemAudit (CVE-2017-0176). Както изследванията на NetLab, по този начин и на Proofpoint,водят към отчет на GuardiCore на Hex Men, формация, употребяваща три разнообразни вид зловредни стратегии, с цел да нападна SQL сървъри. Що се отнася до актуалната акция, то уредниците употребявали инфраструктурата на компанията SharkTech, за което Proofpoint ги осведоми навреме. Те се свързват същ по този начин и с Mine XMR, известната услуга, позволяваща рандеман на Monero. От Mine XMR са блокирали портфейла на групировката зад Smominru. Все отново обаче те са съумели относително бързо да записват нов адрес. “Операторите на този ботнет са упорити, употребяват всички им налични експлойти, с цел да развият ботнет мрежата си и са разкрили голям брой способи да възвръщат активността си след преустановяване на интервенциите им”, означават Proofpoint.
Предвижданията на експерти за трендовете на киберпрестъпниците се сбъдват и от ден на ден от тях се преориентират от доставянето на рансъмуер към копачи на криптовалути. По-рано тази седмица ви съобщихме за още една опасност, употребяваща един от експлойтите на АНС, с цел да се популяризира елементарно в мрежата на атакуваните системи – крипточервея с името WannaMine.
Ботнетът, който Proofpoint кръстят Smominru инфектира машините с копач на Monero, прочут като Ismo и атакуващ машини от май предходната година. Той подчинява системите чрез порт 445 и EternalBlue, експлойтът на Агенцията за национална сигурност на Съединени американски щати (АНС) за една от уязвимостите в SMB протокола (CVE-2017-0144), запушена от Microsoft напролет на предходната година. Proofpoint означават, че по техни наблюдения нарушителите до момента са съумели да проработят близо $8900 Monero монети (близо $2.3 млн. към сегашния курс на криптовалутата).
Prrofpoint намира връзка на Smominru с друга сходна акция, разкрита от NetLab преди седмица и кръстена MyKings. Те организират офанзивите си чрез MySQL, както и посредством потреблението на още един експлойт на АНС – EsteemAudit (CVE-2017-0176). Както изследванията на NetLab, по този начин и на Proofpoint,водят към отчет на GuardiCore на Hex Men, формация, употребяваща три разнообразни вид зловредни стратегии, с цел да нападна SQL сървъри. Що се отнася до актуалната акция, то уредниците употребявали инфраструктурата на компанията SharkTech, за което Proofpoint ги осведоми навреме. Те се свързват същ по този начин и с Mine XMR, известната услуга, позволяваща рандеман на Monero. От Mine XMR са блокирали портфейла на групировката зад Smominru. Все отново обаче те са съумели относително бързо да записват нов адрес. “Операторите на този ботнет са упорити, употребяват всички им налични експлойти, с цел да развият ботнет мрежата си и са разкрили голям брой способи да възвръщат активността си след преустановяване на интервенциите им”, означават Proofpoint.
Предвижданията на експерти за трендовете на киберпрестъпниците се сбъдват и от ден на ден от тях се преориентират от доставянето на рансъмуер към копачи на криптовалути. По-рано тази седмица ви съобщихме за още една опасност, употребяваща един от експлойтите на АНС, с цел да се популяризира елементарно в мрежата на атакуваните системи – крипточервея с името WannaMine.
Източник: kaldata.com
КОМЕНТАРИ