企业敦促修补Cryptocurrency-Mining Botnet
只有几周后发现一个针对致力于采矿加密电脑窃取国内硬币的计算机的变种,研究人员已经为其运营商找到了另一个僵尸网络挖掘加密货币,并敦促企业纠正受感染的补丁。
被称为“smominru”,僵尸网络被认为自2017年5月底以来一直处于活跃状态,并使用EternalBlue Server消息块(SMB)漏洞利用,感染了超过526,000台运行Microsoft Windows操作系统的计算机,据称由美国国家开发安全局(NSA)于2017年4月被影子经纪人黑客集团泄露。
与Ethereum一样,比特币替代的Monero继续其上升趋势,根据网络安全公司校对点的研究人员,在寻求快速利润和匿名交易的威胁演员的十字准备中,将它们正直。
“因为通过合法采矿机制获得这些加密货币是相当资源密集型的,网络罪犯正在窃取他们,要求他们在其中赎金仓库支付,并利用其他电脑免费挖掘它们,”研究人员在博客帖子中表示。
僵尸网络使用被称为smominru或ismo的加密电脑挖掘软件,这在使用Windows管理基础架构的Crypto挖掘恶意软件中是不寻常的,在使用Windows管理基础架构及其在解锁新的加密单位中的速度时。
僵尸网络似乎能够每天开采24个Monero(8,500美元),并被认为为其运营商产生了高达3.60万美元的加密电力。
研究人员表示,至少25个主机通过ETERERBLUE通过ETERERBLUE进行攻击并增加僵尸网络的大小,并指出其他研究人员通过MySQL报告了攻击。校样点研究人员认为僵尸网络运营商也可能使用estiemaudit(CVE-2017-0176),如大多数其他Eternalue攻击者。
SMOMINRU的指挥和控制基础设施托管在分布式拒绝服务(DDOS)保护公司Sharktech,该公司已经被研究人员通知。他们还联系了Monero Mining Pool MineXMR,禁止链接到Smominru Botnet的Monero地址。
“采矿池在操作开始后几天内会发生反应,之后我们观察到僵尸网络运营商将新域注册并挖掘到同一池上的新地址。研究人员说,似乎本集团可能已经在此过程中失去了超过三分之一的僵尸网络控制。
在地下市场的网络犯罪货币上已经使用了加密货币,但在过去的一年里,研究人员表示,他们已经观察到了独立的硬币矿工和在现有恶意软件中迅速增殖的硬币挖掘模块。
由于比特币已经过分资源密集地挖掘专门的采矿农场,因此对Monero的兴趣急剧增加。虽然Monero无法在台式计算机上有效地开采,但研究人员表示,诸如Smominru等分布式僵尸网络可以证明其运营商非常有利可图。
由于此僵尸网络中的大多数节点似乎是Windows服务器,因此研究人员认为,对潜在关键业务基础架构的性能影响可能很高,因此服务器的能源使用成本可以更接近容量。
“此僵尸网络的运算符持久,使用所有可用的漏洞来扩展其僵尸网络,并找到了多种方法可以在陷阱操作之后恢复。鉴于僵尸网络运营商提供的重大利润以及僵尸网络的恢复力及其基础设施,我们预计这些活动将继续,以及它们对受感染节点的潜在影响。他们还期望在这里描述的僵尸网络变得更加常见,并继续成长,“他们说。
威胁业务副主席凯文埃普斯坦,威胁行动副总裁说,威胁演员继续“遵循这笔钱”,因为金钱越来越多地在加密货币中,演员正在关注各种非法手段来获得加密货币。
“这个Monero挖掘机僵尸网络非常大,大多数由Microsoft Windows服务器遍布全球。鉴于其分布式性质和运营商的持久性,脱下僵尸网络非常困难,“他说。
“对于企业来说,通过强大的修补方案和分层安全防止感染是对潜在的破坏性影响对关键基础设施的影响,”他补充道。