С декабря 2019 года бригада вредоносных программ Blue Mockingbird заразила более 1000 бизнес-систем вредоносным ПО Monero.
Глобальный масштаб деятельности хакерской группы был раскрыт фирмой по облачной безопасности Red Canary 26 мая.
В отчете изложена методология группы.Вредоносное ПО атакует серверы, на которых выполняются приложения ASP.NET, и использует уязвимость для установки веб-оболочки на атакованный компьютер и получения доступа на уровне администратора для изменения настроек сервера.
Затем киберпреступники устанавливают приложение XMRRig, чтобы использовать ресурсы зараженных компьютеров.Большинство зараженных компьютеров принадлежат крупным компаниям, хотя Red Canary не раскрывает никаких имен.
Уязвимости протокола удаленного рабочего стола
Как и в случае недавних атак на вымогателей с использованием троянов, преступники воспользовались слабостью протокола удаленного рабочего стола в Windows для проникновения в системы.
В отчете подчеркивается, что, хотя количественно определить общее количество инфекций сложно, эти атаки произошли за относительно короткий промежуток времени.
Red Canary также предупреждает, что компании, которые считают себя защищенными от таких атак, на самом деле подвергаются высокому риску нарушения их безопасности в результате заражения вредоносным ПО.
В беседе с Cointelegraph Бретт Каллоу, аналитик угроз в лаборатории вредоносных программ Emsisoft, прокомментировал текущую уязвимость систем для таких атак:
«Киберпреступники специально ищут слабые места в интернет-системах и, когда их обнаруживают, используют их.Компании могут значительно снизить свой фактор риска, следуя хорошо зарекомендовавшим себя рекомендациям, таким как своевременное исправление, использование MFA, отключение PowerShell, когда в этом нет необходимости, и т. Д. Если эти рекомендации не соблюдаются и серверы с выходом в Интернет остаются уязвимыми, это значительноболее вероятно, что компания столкнется с крипто-майнингом, вымогательством, удалением данных или другим событием безопасности ».
Недавние атаки, связанные с XMRRig
Использование приложения XMRRig для несанкционированного майнинга криптовалют – недавнее явление, которое использовалось различными группами хакеров.
В ноябре 2019 года компания сообщалосьа, что вредоносная программа предназначалась для уязвимых экземпляров Docker для развертывания приложения добычи Monero.
В том же году отчеты, опубликованные компаниями по кибербезопасности Symantec и BlackBerry Cylance, предупреждали о внедрении приложения XMRRig в компьютеры через музыкальные файлы.