Более 1000 корпоративных компьютерных систем были заражены вредоносным ПО, которое устанавливает приложение для майнинга Monero.
С декабря 2019 года, бригада вредоносных программ Blue Mockingbird, заразила более 1000 бизнес-систем вредоносным ПО Monero.
Глобальный масштаб деятельности хакерской группы, был раскрыт фирмой по облачной безопасности Red Canary, 26 мая.
В отчете изложена методология группы. Вредоносная программа атакует серверы, на которых выполняются приложения ASP.NET и использует уязвимость для установки веб-оболочки на атакованный компьютер и получения доступа на уровне администратора для изменения настроек сервера.
Затем, киберпреступники устанавливают приложение XMRRig, чтобы использовать ресурсы зараженных компьютеров. Большинство зараженных компьютеров принадлежат крупным компаниям, хотя Red Canary не раскрывает никаких имен
Уязвимости протокола удаленного рабочего стола
Как и в случае недавних атак на вымогателей с использованием троянов, преступники воспользовались слабостью протокола удаленного рабочего стола в Windows, для проникновения в системы.
В отчете подчеркивается, что, хотя количественно определить общее количество инфекций сложно, эти атаки произошли за относительно короткий промежуток времени.
Red Canary также предупреждает, что компании, которые считают себя защищенными от таких атак, на самом деле подвергаются высокому риску, нарушения их безопасности в результате заражения вредоносным ПО.
Бретт Каллоу, аналитик угроз в лаборатории вредоносных программ Emsisoft, прокомментировал текущую уязвимость систем для таких атак:
«Киберпреступники специально ищут слабые места в интернет-системах и когда их обнаруживают, используют их. Компании могут значительно снизить свой фактор риска, следуя хорошо зарекомендовавшим себя рекомендациям, таким как своевременное исправление, использование MFA, отключение PowerShell, когда в этом нет необходимости, и т. д. Если эти рекомендации не соблюдаются и серверы с выходом в Интернет остаются уязвимыми, это значительно более вероятно, что компания столкнется с крипто-майнингом, вымогательством, удалением данных или другим событием безопасности».
Недавние атаки, связанные с XMRRig
Использование приложения XMRRig, для несанкционированного майнинга криптовалют - недавнее явление, которое использовалось различными группами хакеров.
В ноябре 2019 года компания Cointelegraph сообщила, что вредоносная программа предназначалась для уязвимых экземпляров Doker, для развертывания приложения добычи Monero.
В том же году отчеты, опубликованные компаниями по кибербезопасности Symantec и BlackBerry Cylanоce, предупреждали внедрении приложения XMRRig в компьютеры через музыкальные файлы.
