Контакти Новини Акції Укр Рус
Контакт: +380503703627 info@itpro.ua
+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Близько 700 серверів по всьому світу заражені новим криптомайнер RubyMiner.

Близько 700 серверів у всьому світі заражені новим криптомайнером RubyMiner. Під загрозою сервери під керуванням Windows та Linux, і саме версія під Linux на даний момент вивчена найкраще. Хакерська операція, мабуть, ще на ранніх стадіях.

Атака і на Windows, і на Linux

Експерти з кібербезпеки компаній Check Point, Ixia та Certego виявили новий шкідливий майнер криптовалют під назвою RubyMiner, який атакує сервери під керуванням Windows та Linux.

Кампанія з поширення шкідливості почалася близько тижня тому, і зараз зловмисники змогли заразити близько 700 серверів. Дослідникам удалося вивчити Linux-версію RubyMiner.

За даними дослідників Ixia, зловмисники використовували утиліту для віддаленого визначення версій серверного ПЗ під назвою p0f; якщо їм вдавалося знайти сервери зі старими, давно не версіями операційних систем, що оновлювалися, вони запускали загальновідомі та загальнодоступні експлойти для зараження серверів своїм криптомайнером. На даний момент відомо про експлуатацію наступних вразливостей у Ruby on Rails, Microsoft IIS та п'яти «дірках» у PHP.

Експерти Check Point змогли проаналізувати методи зараження серверів під управлінням Linux на підставі даних, зібраних зі своїх «медових пасток» (honeypots): код експлойту містить shell-команди, при зараженні стираються всі колишні завдання, виставлені програмою-демоном cron, та створюється нова скрипт, що запускається раз на годину і скачує з віддаленого ресурсу, цей скрипт записується в файл robots.txt для різних доменів, скрипт скачує і встановлює модифіковану версію легітимного майнера XMRig Monero.

Новим криптомайнером RubyMiner заражено близько 700 Linux- та Windows-серверів у всьому світі

Один із шкідливих доменів, які використовуються зловмисниками (lochjol.com), вже потрапляв у поле зору дослідників у 2013 р. Через нього поширювалося шкідливе ПЗ, причому використовувалася та ж вразливість у Ruby on Rails - CVE-2013-0156, - ​​що і зараз. Очевидно, діє те саме кіберзлочинне угруповання.

Справа про покинуті сервери

За перші два тижні 2018 р. експерти відзначили вже щонайменше дві кампанії з поширення криптомайнерів на сервери. Наприклад, PyCryptoMiner атакує сервери під Linux. Ще одне угруповання «відзначилося» атаками на сервери Oracle WebLogic.

На думку експертів, злочинці спеціально шукають сервери з давно застарілим ПЗ - по суті, покинуті, але все ще працездатні сервери, адміністратори яких давно забули про них.

Інші новини

Найкраща ціна
VRScans
Chaos Group
VRScans
4 514.00 грн
VRScans
Chaos Group
VRScans
5 016.00 грн
VRScans
Chaos Group
VRScans
9 576.00 грн