Эксперты по кибербезопасности компаний Check Point, Ixia и Certego обнаружили, что более 700 Linux-серверов по всему миру заражены вирусом RubyMiner. Вредоносное ПО используется для майнинга криптовалюты.
Первые атаки были зафиксированы неделю назад. Аналитики считают, что хакерская операция находится на ранней стадии, так что в будущем может пострадать значительно больше серверов. Майнер атакует не только Linux-сервера, но и решения на Windows.
Суть атаки
Хакеры используют утилиту p0f, чтобы определить версию серверного программного обеспечения.
Если версия ПО старая, взломщики запускают общедоступные эксплойты и заражают сервер RubyMiner.
Для Linux, в частности, код эксплойта содержит shell-команды, которые удаляют все прежние задачи в демоне cron. Вместо них создаётся задача, которая запускается каждый час и скачивает скрипт с удалённого ресурса. Скрипт записывается в файл robots. txt для разных доменов, скачивает и устанавливает улучшенную версию легитимного майнера XMRig Monero.
Параллельно другие хакерские группировки атакуют Linux-сервера и устанавливают на них майнер PyCryptoMiner. Есть и те, кто атакует сервера Oracle WebLogic для майнинга криптовалют.
Старые, «заброшенные» сервера мощнее ПК. Их не обслуживают, что позволяет хакерам долго оставаться незамеченными и зарабатывать на майнинге.
Заработали немного
По словам экспертов, в кошельках, адреса которых обслуживает RubyMiner, лежит криптовалюта всего на 540 долларов. А группировка, которая взламывает сервера WebLogic, с начала октября 2017 года заработала несколько сотен тысяч долларов. Выгодно, даже с учётом обвала курсов криптовалют.