Исследователи обнаружили новый майнер, который нацелен на Windows- и Linux- серверы с устаревшим ПО. Зловред, названный RubyMiner, добывает криптовалюту Monero и уже поразил около 700 машин. На данный момент известно, что RubyMiner успел добыть количество криптовалюты, эквивалентное $700.

Эксперты Check Point и Certego опубликовали отчет, согласно которому первые атаки начались 9-10 января. Многие злоумышленники занимаются установкой майнеров для скрытой добычи криптовалюты, но RubyMiner выделяется на фоне подобных программ: он использует инструмент поиска давно не обновляемых серверов, находит уязвимости и затем атакует бреши довольно старыми и всем известными эксплойтами. В результате атаки хакеры получают контроль над машиной и устанавливают вредоносное ПО.

Аналитики из Check Point сумели изучить образец RubyMiner, атакующий Linux-серверы, но пока не получили в свое распоряжение Windows-версию. Они обратили внимание на некоторые особенности доступного кода: он удаляет все задания из крона — программы-демона, использующейся для выполнения заданий в определенное время в UNIX-системах. Затем в кроне инициируется новое задание, исполняемое с периодичностью раз в час — загрузка скрипта из Интернета. Скрипт, в свою очередь, хранится в файлах robots.txt и загружает модифицированную версию майнера XMRig.

Специалисты полагают, что, несмотря на более высокую эффективность недавно открытых эксплойтов, злоумышленники избрали другую тактику. При детектировании эксплойта 10-летней давности защитные решения точно оповестят администраторов серверов, но в случае с давно не обновляемыми серверами велика вероятность, что администраторы «забросили» эти машины и забыли, что они все еще доступны из сети. В этом случае майнер может работать довольно долго, не опасаясь реакции со стороны IT-персонала.

Исследователи также отметили, что обнаруженный во время анализа домен, откуда происходит загрузка вредоносного скрипта, уже фигурировал в кибератаке 2013 года, в ходе которой использовался тот же эксплойт, что и для распространения RubyMiner. Вероятно, за обеими кампаниями стоит одна и та же группировка.

Скрытая добыча криптовалюты приобретает популярность среди киберпреступников. Только за последние несколько месяцев стало известно о ряде кампаний, нацеленных на добычу Monero. В начале января был обнаружен основанный на языке Python ботнет PyCryptoMiner, который добыл криптовалюту на сумму, эквивалентную 60 тыс. долларов. В декабре создатели майнера Zealot провели масштабную атаку на серверы с незакрытой уязвимостью, используя инструментарий АНБ США, и добыли криптовалюту на сумму $8,5 тысяч. Кроме того, в декабре на WordPress прошла масштабная брутфорс-атака, целью которой также был майнинг Monero.

Категории: Главное, Уязвимости, Хакеры