Специалисты в сфере информационной безопасности зафиксировали вредоносную кампанию, нацеленную на майнинговые фермы. Программа-вымогатель блокирует устройство для генерации криптовалюты и угрожает вывести его из строя, если владелец не заплатит выкуп или не установит программу для заражения других хостов. Массовые нападения начались в январе этого года, однако первый случай атаки был выявлен еще в августе 2018-го.

Целью зловреда, получившего название hAnt, стали майнинговые фермы в Китае. Пока неизвестно, как происходит заражение, но по мнению экспертов, программа распространяется через модифицированный вариант прошивки устройств для добычи цифровых денег. Вымогатель также обладает функциями червя и сканирует локальную сеть в поисках аналогичных систем с открытыми портами, однако технические подробности его работы на данный момент неизвестны.

Большинство инфицированных систем относятся к оборудованию марки Antminer. Под ударом оказались фермы семейств S9 и T9, предназначенные для генерации биткойнов, а также устройства линейки L3, которые используются для майнинга монет Litecoin. Кроме того, специалисты сообщают об отдельных случаях заражения установок AvalonMiner.

Оказавшись в целевой системе, hAnt блокирует работу устройства и выводит на экран картинку с изображением муравья, составленную из ASCII-символов. По клику мышки или после нажатия на любую клавишу появляется требование о выкупе на английском и китайском языках. За восстановление работы фермы злоумышленники требуют от жертвы 10 биткойнов (более $35 тыс.).

В качестве альтернативного варианта киберпреступники предлагают владельцу устройства загрузить на него специальную программу, которая будет пытаться установить hAnt на другие майнинговые фермы. Мошенники обещают разблокировать инфицированное оборудование после того, как с него будет заражена тысяча других установок для добычи монет. В случае отказа от оплаты или участия в атаках злоумышленники угрожают остановить систему охлаждения и вывести ферму из строя.

Специалисты сомневаются в способности нападающих отключить кулер устройства, однако отмечают, что добиться перегрева можно при помощи специальных утилит для повышения производительности фермы. Для восстановления работы оборудования после атаки hAnt эксперты рекомендуют переустановить прошивку. Производитель Antminer, компания Bitmain, в декабре прошлого года предупреждала своих клиентов о необходимости использования только официальных сборок системного ПО.

Это не первый случай атак на майнинговые фермы. В мае 2018 года ботнет Satori искал и взламывал оборудование для добычи монет Ethereum через сеть захваченных ранее GPON-роутеров. Стоящие за кампанией злоумышленники не требовали выкуп, а перенастраивали инфицированное оборудование для работы в пользу принадлежащего им пула.

Категории: Вредоносные программы