Porobljavanje ranjivih sistema: Novi način za ilegalno rudarenje kriptovaluta
Nova mreža botova širi se ranjivim sistemima, a uz pomoć metoda koje uključuju EternalBlue ranjivost za Windows Server Message Block (SMB) protokol. Cilj napada je da se rudare kriptovalute, te zloupotrebe pogođeni uređaji.
Napadači osvojene sisteme koriste za rudarenje Monero kriptovalute, a cilj je da se porobi što više sistema kako bi se ubrzalo uvećavanje profita. Novi botnet sistem dobio je ime Prometei i utvrđeno je da je aktivan još od marta. Napadi se zasnivaju na kompleksnim kampanjama i višemodularnom malveru, a da bi došli do ranjivih uređaja napadači kombinuju living-off-the-land binaries (LoLBins) kao što su PsExec i WMI, SMB ranjivosti, te ukradeni podaci žrtava. Tako Prometei napadi sadrže više od 15 komponenti, a svima upravlja glavni modul koji enkriptuje podatke da bi ih nakon toga poslao na command and control (C2) server.
Malver se deli na dve osnovne kategorije – onu koja se fokusira na rudarenje, te na pogođene uređaje instalira miner modul, te onu koja dobija pristup sistemima koristeći SMB i RDP. Zbog toga se Prometei razlikuje od ostalih napada čiji je cilj rudarenje kriptovaluta, a malver za sada cilja žrtve iz Sjedinjenih Američkih Država, Brazila, Pakistana, Kine, Meksika i Čilea. Od početka napada sistem je zaradio manje od pet hiljada dolara – oko 1.250 dolara mesečno, a očekuje se da se te cifre uvećaju, najpre zbog toga što se pretpostavlja da su iza napada profesionalni developeri, najverovatnije iz istočne Evrope.
Izvor: Bleeping Computer