Especialistas da empresa de segurança ESET descobriram ciber criminosos que exploraram servidores da Microsoft para minerar Monero (XMR) e levantaram um total de US$ 63 mil em três meses de ataque.
Minerar criptomoedas é um negócio rentável, mas ao mesmo tempo é caro pois exige um investimento significativo em poder de computação. O grupo de hackers denominado como “Crooks” está usando códigos maliciosos que roubam recursos de computação da máquina das vítimas para mineração de criptomoedas, e o número de ataques desse tipo continua a aumentar.
Os “Crooks” modificaram o código de mineração da Monero para explorar uma vulnerabilidade conhecida como CVE-2017-7269 no Microsoft IIS 6.0 para implantar o mineiradora em servidores do Windows.
Uma dessas operações está ocorrendo desde maio de 2017, com os atacantes infectando servidores do Windows não atualizados com uma mineradora de criptomoedas maliciosa. O objetivo é usar o poder de computação dos servidores para explorar o Monero (XMR), uma das mais recentes alternativas de moedas digitais para o Bitcoin. Afirma um relatório publicado pela ESET.
O impacto da vulnerabilidade do CVE-2017-7269 é significativo. De acordo com os dados fornecidos pelo W3Techs, o IIS da Microsoft é atualmente a terceira solução de servidor web mais popular de todos os sites com 11,4%. O IIS 6.0 representa 11,3%, cerca de 1,3% de todos os sites na Internet. De acordo com a BuiltWith, a versão IS 6.0 é atualmente utilizada por 2,3% da Internet inteira, mais de 8,3 milhões de sites estão usando o IIS 6.0.
A vulnerabilidade não afeta as versões mais recentes do Microsoft Internet Information Services. Para mitigar o risco de ataques cibernéticos, é possível desativar o serviço WebDAV nas instalações do IIS 6.0.
Os “Crooks” estão concentrando seus esforços na Monero por causa do foco na privacidade e porque tem uma boa rentabilidade de mineração, ele aproveita o algoritmo de prova de trabalho (PoW) chamado CryptoNight, que se adapta a CPUs e GPU de computador ou servidor sem exigir hardware de mineração específico.
Em maio de 2017, os especialistas em segurança da Proofpoint descobriram que muitas máquinas não foram infectadas pela WannaCry porque elas foram previamente infectadas pelo malware de mineração de criptomoedas Adylkuzz que usa a exploração NSA EternalBlue para espalhar e infectar máquinas para envolver em uma botnet Monero.
No mesmo mês, os especialistas em malware da GuardiCore descobriram um novo malware de botnet, denominado BondNet , que até o momento infectou cerca de 15.000 servidores do Windows em todo o mundo para mineração do Monero.
