Около 700 серверов по всему миру заражены новым криптомайнером RubyMiner.
Атака и на Windows, и на Linux
Эксперты по кибербезопасности компаний Check Point, Ixia и Certego выявили новый вредоносный майнер криптовалют под названием RubyMiner, атакующий серверы под управлением Windows и Linux.
Кампания по распространению вредоноса началась около недели назад, и к настоящему моменту злоумышленники смогли заразить около 700 серверов. Исследователям удалось изучить Linux-версию RubyMiner.
По данным исследователей Ixia, злоумышленники использовали утилиту для удаленного определения версий серверного ПО под названием p0f; если им удавалось найти серверы со старыми, давно не обновлявшимися версиями операционных систем, они запускали общеизвестные и общедоступные эксплойты для заражения серверов своим криптомайнером. На данный момент известно об эксплуатации следующих уязвимостей в Ruby on Rails, Microsoft IIS и пяти «дырах» в PHP.
Эксперты Check Point смогли проанализировать методы заражения серверов под управлением Linux на основании данных, собранных из своих «медовых ловушек» (honeypots): код эксплойта содержит shell-команды, при заражении стираются все прежние задачи, выставленные программой-демоном cron, и создается новая, запускаемая раз в час и скачивающая с удаленного ресурса скрипт, этот скрипт записывается в файл robots.txt для разных доменов, скрипт скачивает и устанавливает модифицированную версию легитимного майнера XMRig Monero.
Один из вредоносных доменов, используемых злоумышленниками (lochjol.com), уже попадал в поле зрения исследователей в 2013 г. Через него распространялось вредоносное ПО, причем использовалась та же уязвимость в Ruby on Rails - CVE-2013-0156, - что и сейчас. По-видимому, действует та же киберпреступная группировка.
Дело о заброшенных серверах
За первые две недели 2018 г. эксперты отметили уже минимум две кампании по распространению криптомайнеров на серверы. Например, PyCryptoMiner атакует серверы под Linux. Еще одна группировка «отличилась» атаками на серверы Oracle WebLogic.
По мнению экспертов, преступники специально ищут серверы с давно устаревшим ПО - по сути, заброшенные, но все еще работоспособные серверы, администраторы которых давно забыли про них.
