Международная группа по кибербезопасности Guardicore Labs обнаружила атаку хакеров, в ходе которой вредоносным ПО для добычи конфиденциальной криптовалюты TurtleCoin (TRTL) были заражены более 50 тысяч серверов.
Проследив происхождение и прогресс кампании, Guardicore Labs пришла к выводу, что она началась 26 февраля и расширялась со скоростью “семьсот новых жертв в день”. С 13 апреля, когда атака была обнаружена, по 13 мая количество жертв удвоилось и составило 47985 серверов Windows MS-SQL и PHPMyAdmin.
Guardicore Labs отмечает, что данная хакерская кампания не является типичной атакой криптоджекеров, поскольку опирается на методы, которые обычно встречаются в продвинутых группах постоянных угроз, включая поддельные сертификаты и эксплойты для повышения привилегий.
Аналитики назвали кампанию Nansh0u, по строке в текстовом файле злоумышленников. Предположительно атака была сконструирована носителями китайского языка, поскольку средства для создания вредоносных программ были написаны на данном языке. Кроме того, ряд файлов журналов и других содержал китайские строки.
“Взломанные машины включают более 50 000 серверов, принадлежащих компаниям в секторах здравоохранения, телекоммуникации, медиа и IT. После взлома целевые серверы были заражены вредоносными данными. Они в свою очередь удалили криптомайнер и установили сложный руткит уровня ядра, чтобы предотвратить уничтожение вредоносного ПО”, — пояснили аналитики.
География компании криптоджекеров предположительно составила 90 стран, но большинство жертв находится в Китае, США и Индии. Аналитики затрудняются определить, какую прибыль удалось получить злоумышленникам.
Guardicore Labs дала рекомендации и выложила информацию и инструменты для борьбы с атакой. Группа подчеркнула, что “эта кампания еще раз демонстрирует, что общие пароли по-прежнему являются самым слабым звеном в сегодняшних потоках атак”.
Примечательно, что монета TurtleCoin впервые фигурирует в крупной атаке криптоджекеров — ранее злоумышленники предпочитали Monero (XMR). Например, в прошлом году в ходе одной из атак были заражены майнером Coinhive для добычи XMR около 200 тысяч роутеров MicroTik. Ранее аналитики подсчитали, что с помощью скрытого майнинга было добыто 5% от общего числа XMR. Но скоро криптовалюта может перейти на новый алгоритм консенсуса, который значительно затруднит скрытый майнинг монеты.
Новости криптовалют – Anycoin.news
Автор: Андрей Плещенко
