Prikaži glavni meni

Malver za kopanje kriptovalute Monero inficirao pola miliona računara

Vesti, 02.02.2018, 01:30 AM

Oko 526000 Windows računara, mahom Windows servera, inficirano je malverom za kopanje Monero digitalne valute i to je najveća bot mreža te vrste ikada. Grupa koja rukovodi ovom bot mrežom poznata je onima koji se bave kompjuterskom bezbednošću još od prošle godine, kada je nekoliko kompanija objavilo izveštaje o delovanju grupe. Ali s obzirom da je reč o ovako velikoj i raširenoj bot mreži, većina objavljenih izveštaja pokrila je samo deo aktivnosti grupe.

Najnoviji izveštaj o botnetu nazvanom "Smominru" ("Ismo", "MyKings") je izveštaj istraživača iz kompanije Proofpoint. Druge kompanije koje su objavile izveštaje u kojima se analiziraju delovi infrastrukture i grupa su Kaspersky, TrendMicro, Panda Security, GuardiCore, Qihoo 360 NetLab i Crowdstrike.

Kada se na sve ono što su otkrili ovi izveštaji stavi na jedno mesto, dobija se šira slika najveće do sada poznate bot mreže ove vrste.

Grupa koja stoji iza Smominru botneta koristi različite tehnike za infekciju računara, ali najčešće EternalBlue exploit (CVE-2017-0144). Pored njega, grupa koristi i EsteemAudit (CVE-2017-0176) exploit američke obaveštajne agencije NSA. I jedan i drugi exploit se koriste sa ciljem infekcije ranjivih Windows računara koji se zatim koriste za kopanje kriptovalute vredne milione dolara. Operatori bot mreže su koristeći krišom resurse korisnika inficiranih računara već iskopali oko 8900 Monero koina, vrednih oko 3,6 miliona dolara, odnosno u proseku od oko 24 Monero koina dnevno (8500 dolara).

Najveći broj Smominru infekcija primećen je u Rusiji, Indiji i na Tajvanu, u Ukrajini i u Brazilu, kažu istraživači. Iz Proofpointa ističu da je Smominru trenutno dva puta veća od Adylkuzz botneta, prvog malvera koji je čak i pre malvera WannaCry koristio EternalBlue exploit. I Adylkuzz je malver za majning Monero kriptovalute.

Komandno-kontrolna infrastruktura Smominru bot mreže hostovana je na servisu za zaštitu od DDoS napada SharkTech, koji je obavešten o zloupotrebi, ali je kompanija navodno ignorisala obaveštenja o zloupotrebi.

"Operatori ovog botneta su uporni i koriste sve raspoložive exploite da prošire svoju bot mrežu", kažu iz Proofpointa, predviđajući da će se s obzirom na značajnu zaradu koju mogu ostvariti operateri bot mreže i otpornost njene infrastrukture, ove aktivnosti nastaviti, kao i potencijalni uticaj na botove.

Pored inficiranja sistema, sajber-kriminalci se sve više okreću cryptojacking napadima, pri čemu in-browser majneri koriste procesore posetilaca web sajtova za kopanje digitalnog novca.

S obzirom da je propust koji koristi EternalBlue Microsoft ispravio još prošle godine, korisnicima se savetuje da ažuriraju svoje sisteme i softver kako ne bi postali žrtve ovakvih pretnji.