Operações de mineração de criptomoedas atacam servidores Windows, Redis e Solr

Pesquisadores do grupo ISC SANS e da empresa Anti-DDoS Imperva descobriram duas campanhas distintas direcionadas a servidores Windows Server, Redis e Apache Solr.

Nestas campanhas que foram direcionadas a todos estes tipos de servidores os invasores tentaram instalar o minerador Coinminer.

As duas campanhas foram vistas por pesquisadores do grupo ISC SANS e pela empresa anti-DDoS Imperva.

Os criminosos estavam realizando uma varredura em massa na internet para sistemas que executam versões destatualizadas do Redis e os atacantes tentavam explorar a vulnerabilidade da CVE-2017-9805.

“Nesta semana vimos uma nova geração de ataques de cryptojacking voltados para servidores de banco de dados e servidores de aplicativos. Nós apeliadamos um destes ataques como RedisWannaMine ”, diz o post do blog publicado pela Imperva.

“O RedisWannaMine é mais complexo em termos de técnicas e capacidades de evasão. Ele demonstra um comportamento parecido com um Worm combinado com explorações avançadas para aumentar a taxa de infeçção dos atacantes e engordar suas carteiras.”

O RedisWannMine executa um script para baixar uma ferramenta publicamente disponível apelida de masscan que é armazenada em um repositório do Github. Logo após ele a compila e instala.

Os especialistas observaram que uma vez que os atacantes tenham acesso a um host eles descartarão o malware RedisWannaMine como uma carga de primeiro estágio e em um segundo estágio, instalam um minerador de critpmoedas.

O código malicioso que o ataque RedisWannaMine implementa é o EternalBlue NSA.

Mas a campanha RedisWannaMine também exibe o padrão comportamental clássico de um worm de autopropagação.

O grupo por trás do RedisWannaMine tem como alvo servidores Redis e também os servidores Windows Server que expõem as portas SMB .

A segunda campanha de mineração está atacando o Apache Solr explorando a CVE-2017-12629 e foi descoberta pela ISC SANS.

O número de vítimas está aumentando. De 28 de fevereiro a 8 de março esta campanha infectou 1777 vítimas das quais 1417 são servidores SOLR. Abaixo está uma imagem a distribuição mundial daqueles que tiveram servidores SOLR infectados.” – na análise da ISC SANS.

 

As duas campanhas são apenas a ponta do iceberg pois o número de campanhas de mineração e ataques a indústria de criptomoedas está só crescendo e com certeza, quanto mais este mercado estiver em alta, mais ele será alvo.

Portanto, nos próximos meses é garantia de vermos um crescimento neste tipo de evento.

 

VIa Security Affairs

loading...