Неизвестный ранее штамм вредоносного программного обеспечения атакует устройства под управлением Linux. Об этом сообщил в своем Twitter ИБ-специалист под ником VessOnSecurity. Методы заражения и масштабы кампании нового червя пока неизвестны.

Под ударом находятся в первую очередь IoT-устройства. Зловред ведет себя весьма агрессивно, а его действия напоминают атаки Mirai. Однако скорее всего, это совершенно новый скрипт. В отличие от печально известного ботнета, который использовал несколько собственных репозиториев, обнаруженный исследователем червь загружается с тысяч разных IP-адресов. Не исключено, что в нападении задействованы копии дистрибутива, размещенные на зараженных системах.

Часть антивирусных программ уже включили новое вредоносное ПО в свои базы, однако обнаружение его активности затруднено. Как отмечает VessOnSecurity, исполняемый файл содержит полиморфные команды. Код червя постоянно изменяется — текущая версия существует около недели, но оригинальный скрипт гораздо старше.

На развернутый экспертом сервер-приманку в течение июня было совершено более 2 млн атак по каналам SSH и Telenet. Специалист не сообщает, сколько из них пришлось на новый штамм, но отмечает, что самую высокую активность проявляют вредоносные скрипты из США и России. В пятерку стран, с чьей территории происходит большинство атак, вошли также Великобритания, Франция и Нидерланды.

Авторам Mirai — двум американским студентам — предъявлены обвинения в преступном сговоре и кибермошенничестве. На пике своей популярности под управлением командных серверов ботнета работали сотни тысяч IoT-устройств. Злоумышленники использовали свое детище для организации DoS-атак и клик-фрода.

Исходники вредоносного скрипта были выложены в сеть, после чего на основании оригинального кода были созданы новые версии программы. Наиболее известные из них — ботнеты Wicked и Satori — не раз замечены в атаках на устройства Интернета вещей.

В мае 2018 года специалисты сообщили о направленных атаках Satori на устройства с портом 3333, который обычно используют для удаленного управления майнинговыми фермами.

Категории: Вредоносные программы