Servidores Linux e Windows minerados pelo Malware RubyMiner

Pesquisadores de segurança descobriram uma nova variedade de malware que está sendo implantado on-line. Nomeado RubyMiner, este malware é um minério de criptomoedas para servidores web desatualizados.

De acordo com pesquisas publicadas pela Check Point e Certego, e informações recebidas pela Bleeping Computer da Ixia, os ataques começaram de 9 a 10 de janeiro na semana passada.

Os atacantes visam servidores Linux e Windows

O pesquisador de segurança da Ixia, Stefan Tanase, disse à Bleeping Computer que o grupo RubyMiner usa uma ferramenta de impressão digital do servidor web chamada p0f para verificar e identificar servidores Linux e Windows que executam software desatualizado.

Uma vez que eles identificam servidores não empacotados, os invasores implementam façanhas bem conhecidas para obter uma posição em servidores vulneráveis ​​e infectá-los com o RubyMiner.

Check Point e Ixia dizem que viram invasores implantar as seguintes explorações na onda de ataque recente:

◍ Processador XML Ruby on Rails YAML Execução do Código de Deserialização (CVE-2013-0156) [ 1 ] ◍ PHP php-cgi Query String Parâmetro Execução do Código (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2311; CVE-2012-2335; CVE-2012-2311; -2012-2336; CVE-2013-4878) [ 1 , 2 , 3 , 4 ] ◍ Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678) [ 1 ]

Destaca-se imediatamente que o RubyMiner tem como alvo sistemas Windows e Linux.

Os atacantes escondem o código malicioso nos arquivos robots.txt

Em um relatório publicado na semana passada, o Check Point quebrou a rotina de infecção da RubyMiner em sistemas Linux, com base em dados coletados de seus servidores honeypot. Há algumas coisas que se destacam imediatamente, pelo menos por causa da criatividade dos atacantes:

▨ O código de exploração contém uma série de comandos de shell
▨ Os atacantes eliminam todos os trabalhos do cron
▨ Os atacantes adicionam um novo trabalho de cron de hora
▨ O novo trabalho do cron baixa um script hospedado online
▨ Este script está hospedado dentro do arquivo robots.txt de vários domínios
▨ O script Descarrega e instala uma versão modificada da aplicação legítima mineradora XMRig Monero.

O pesquisador de segurança do Check Point, Lotem Finkelstein, disse à Bleeping Computer que eles viram ataques aos destinatários dos servidores Windows IIS, mas eles ainda não conseguiram obter uma cópia da versão do Windows deste malware.

Este ataque também se separou porque um dos atacantes de domínios usados ​​para esconder comandos maliciosos no arquivo robots.txt (lochjol [.] Como também foi usado em uma campanha anterior de malware, em 2013 [ 1 , 2 ].

Essa campanha de malware também utilizou o mesmo recurso Ruby on Rails implantado nos ataques RubyMiner, sugerindo que o mesmo grupo que estava por trás desses ataques provavelmente tentaria espalhar o RubyMiner.

Tendência crescente no malware minerador Monero

No geral, tem havido um aumento nas tentativas de espalhar o malware da mineração de criptografia nos últimos meses, especialmente o malware que minera para o Monero.

Excluindo eventos de cryptojacking – que também são o meu Monero – algumas das famílias de malware da minera de Monero e botnets que vimos em 2017, incluem Digmine , um botnet sem nome visando sites do WordPress , Hexmen , Loapi , Zealot , WaterMiner , um botnet sem nome que alveja servidores IIS 6.0 , CodeFork e Bondnet .

Duas semanas em 2018 e já vimos PyCryptoMiner visando servidores Linux e outro grupo visando servidores Oracle WebLogic .

Na maioria dos incidentes mencionados acima, os servidores da Web direcionados, os atacantes tentaram usar exploits recentes, pois haveria máquinas mais vulneráveis ​​para infectar.

Os ataques do RubyMiner são peculiares porque os invasores usam explorações muito antigas, que a maioria dos softwares de segurança poderiam detectar, e que teria alertado os proprietários dos servidores.

Finkelstein disse à Bleeping Computer que os atacantes podem ter procurado máquinas abandonadas de propósito, como “PCs esquecidos e servidores com versões antigas do sistema operacional”, que os administradores de sistemas esqueceram que deixaram online.

“Infectá-los garantiria longos períodos de mineração bem sucedida sob o radar de segurança”, diz Finkelstein.

A equipe RubyMiner infectou 700 servidores

Check Point colocou o número de servidores infectados com o RubyMiner em torno de 700 e estimou os ganhos dos atacantes em US $ 540, com base nos endereços da carteira encontrados na mineradora XMRig personalizada implantada pelo malware RubyMiner.

Muitos argumentariam que o grupo seria mais bem sucedido e ganharia mais dinheiro se usassem explorações mais recentes em vez de vulnerabilidades de dez anos de idade. Por exemplo, um grupo que alvejava os servidores Oracle WebLogic com uma exploração a partir de outubro de 2017 obteve um enorme $ 226,000.

FONTE: BLEEPING COMPUTER

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *