Złośliwe oprogramowanie Monero atakuje sieci korporacyjne

Według najnowszego raportu opublikowanego przez firmę Sophos, nowy wariant minera kryptowalut Tor2Mine infekuje sieci firmowe w celu wydobycia Monero (XMR), popularnej monety prywatności. Sophos szczyci się liczbą ponad 500 000 klientów korporacyjnych.

Sean Gallagher, badacz zagrożeń z Sophos, który jest autorem raportu powiedział w wywiadzie dla portalu Decrypt:

Wszystkie minery, które ostatnio widzieliśmy to minery Monero.

Według Gallaghera, złośliwe oprogramowanie szuka dziur w zabezpieczeniach sieci, zazwyczaj w postaci systemów, które nie mają zaktualizowanych lub załatanych zabezpieczeń – w tym oprogramowania antywirusowego i anty-malware. Po zainstalowaniu na serwerze lub komputerze, poszukuje innych systemów, w których może zainstalować swoją koparkę kryptowalut w celu osiągnięcia maksymalnego zysku.

Ataki hakerskie pozostają prawdziwym problemem dla projektów DAO i DeFi, które są podatne na więcej niż tylko exploity smart kontraktów. Zaledwie wczoraj informowaliśmy o hacku BadgerDAO, który stracił ponad 120 mln USD w ataku na front-end. Gallagher napisał:

Po ustanowieniu przyczółka w sieci, jest trudny do wykorzenienia bez pomocy oprogramowania do ochrony punktów końcowych i innych środków antymalwar. Ponieważ rozprzestrzenia się na boki od początkowego punktu ataku, nie można go wyeliminować poprzez łatanie i czyszczenie jednego systemu. Górnik będzie nieustannie próbował ponownie zainfekować inne systemy w sieci, nawet po tym, jak serwer dowodzenia i kontroli dla górnika został zablokowany lub przestał działać.

Innymi słowy, Tor2Mine szybko rozprzestrzenia się na każdy inny system w sieci, instalując minera kryptowalutowego gdzie się da – i nie jest łatwo go usunąć.

Ponieważ generują one mniejszy przychód niż inne ataki, takie jak ransomware, złośliwe aplikacje górnicze muszą zainfekować jak najwięcej systemów, aby atak był wart zachodu.

NEW ⚒️

Two flavors of Tor2Mine miner dig deep into networks with PowerShell, VBScript

Using remote scripts and code, one variant can even execute filelessly until it gains administrative credentials…

1/15 pic.twitter.com/OfXWYHwcTC

— SophosLabs (@SophosLabs) December 2, 2021

Co świadczy o zainfekowaniu?

Gallagher powiedział dla Decrypt, że znakiem, że system jest zainfekowany jest niezwykle intensywne wykorzystanie mocy obliczeniowej, zmniejszona wydajność i wyższe niż zwykle rachunki za prąd. Podobnie jak w przypadku wydobywania kryptowalut.

Monero, co oznacza “monetę” w języku esperanto, stało się ulubionym narzędziem cyberprzestępców ze względu na wiele cech prywatności, które sprawiają, że jego śledzenie jest znacznie trudniejsze niż w przypadku Bitcoina i Ethereum. Adresy portfeli Monero i transakcje są trudne do namierzenia ze względu na użycie podpisów pierścieniowych i stealth. To one ukrywają tożsamość zarówno nadawcy jak i odbiorcy.

Sophos zaleca łatanie luk w systemach działających w Internecie, takich jak aplikacje internetowe, usługi VPN i serwery pocztowe oraz instalowanie produktów antywirusowych, aby zmniejszyć prawdopodobieństwo padnięcia ofiarą.

Podczas gdy Sophos tworzy swoje własne produkty, Gallagher zachęca po prostu do stosowania jakiejkolwiek ochrony, mówiąc: “Każdy antywirus jest lepszy niż żaden”.