50 mil servidores espalhados por todo o mundo foram infectados com um malware avançado de cryptojacking, em outras palavras, um vírus utilizado para minerar a criptomoeda focada em privacidade Turtlecoin (TRTL), conforme noticiou a Cointelegraph nesta quarta-feira, 29 de maio.
A Cointelegraph fala sobre uma análise feita pelo grupo de especialistas em segurança Guardicore Labs, publicada no dia 29 de maio. Cryptojacking é um termo da indústria utilizado para o roubo de criptomoedas em ataques de mineração, que funcionam por meio da instalação de um malware que utiliza a capacidade computacional de um dispositivo para minerar criptomoedas sem o consentimento ou conhecimento do dono.
Tendo detectado a campanha em abril e rastreado suas origens, o Guardicore Labs acredita que o malware infectou cerca de 50 mil servidores WindowsMS-SQL e PHPMyAdmin pelo mundo nos últimos quatro meses. Os analistas disseram que os ataques tiveram início no fim de fevereiro, ressaltando a proporção de expansão da campanha – que é de mais de 700 novas vítimas por dia.
Entre os dias 13 de abril e 13 de maio, o número de servidores infectados atingiu 47985.
A Guardicore Labs ressalta que a campanha de malware não é um ataque típico, tendo em vista que ele aplica técnicas comumente vistas em ataques avançados e persistentes de grupos de ameaça, incluindo certificados falsos.
Confira nossas sugestões de Pre-Sales para investir agora
Os pesquisadores apelidaram a campanha de “Nansh0u”, após um arquivo de texto encontrado nos ataques utilizar este termo repetidamente. Acredita-se que a campanha tenha sido desenvolvida por hackers chineses, tendo em vista que as ferramentas aplicadas no malware foram escritas na linguagem de programação baseada na língua chinesa EPL. Ademais, diversos arquivos e binários dos servidores incluíram linhas chinesas. A análise explica:
“Dispositivos invadidos incluem mais de 50 mil servidores pertencentes a companhias nos setores de assistência média, telecomunicações, mídia e TI. Uma vez comprometido, o servidor é infectado com arquivos maliciosos. Estes, por sua vez, deixam um minerador e instalam um rootkit sofisticado para prevenir que o malware seja removido.”
Em termos de distribuição geográfica, a maior parte das vítimas está na China, nos Estados Unidos e na Índia — embora a campanha tenha atingido 90 países. A lucratividade exata do cryptojacking é mais difícil de precisar, segundo o relatório, uma vez que os fundos são minerados por meio de uma criptomoeda focada em privacidade.
Em um alerta às organizações, os pesquisadores sublinharam que “esta campanha demonstra novamente que as senhas comuns ainda são o elo mais fraco explorado peloos ataques atuais”.
A moeda focada em privacidade Monero (XMR) é a histórica escolha nas campanhas de cryptojacking, com os pesquisadores relatando em meados de 2018 que cerca de 5% de todo o suprimento em circulação de XMR foi minerado por meio de malwares.
Uma potencial mudança do XMR para um novo algoritmo proof of work em outubro deste ano pode tornar mais difícil utilizar a moeda em tentativas de mineração maliciosa.
Leia também: Serviço especializado em mineração de Monero anuncia encerramento de suas atividades
