Обнаружен ботнет, специализирующийся на майнинге Monero

11
11

Исследователи компании GuardiCore обнаружили ботнет из 15 000 серверов, которые активно используются для майнинга криптовалюты Monero и приносят оператору до $1000 в день, сообщает издание xakep.ru.

Аналитики пишут, что ботнет появился в декабре 2016 года и быстро разросся до 15 000 машин, работающих под управлением Windows Server. Из этого число примерно 2000 машин активны ежедневно. Специалисты полагают, что оператор ботнета находится на территории Китая, и, судя по обнаруженным в коде комментариям, он скрывается под псевдонимом Bond007.01. Именно поэтому ботнет получил название BondNet.

Обнаружен ботнет, специализирующийся на майнинге Monero

Bond007.01 используется преимущественно для майнинга Monero, но установлено, что зараженные серверы также добывали ByteCoin, RieCoin и ZCash.

Быстрый рост ботнета эксперты объясняют тем, что злоумышленник не жалеет сил и времени на его развитие. Известно, что Bond007.01 полагается на разные техники, комбинирует различные эксплоиты и брутфорс-атаки, взламывая как системы с ненадежными учетными данными RDP, так и более защищенные машины. В последнем случае злоумышленник эксплуатирует различные уязвимости в phpMyAdmin, JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL, Apache Tomcat, Oracle Weblogic и т.д.

Обнаружен ботнет, специализирующийся на майнинге Monero

Векторы атак

Взломав сервер, Bond007.01 устанавливает на него RAT с функциональностью Windows Management Interface (WMI) бэкдора и криптовалютный майнер для получения прибыль. Кроме того, зараженные серверы используют WinEggDrop (сканер TCP портов) для поиска новых жертв.

Исследователи сообщают, что все пострадавшие машины работали под управлением Windows Server, и более половины под управлением Windows Server 2008 R2.

Обнаружен ботнет, специализирующийся на майнинге Monero

К своему отчету специалисты GuardiCore также приложили специальный инструмент, который призван помочь администраторам обнаружить заражение и удалить ботов Bondnet из своих систем.

Напомним, в сентябре 2016 года был обнаружен троян Mal/Miner-C который заражает и использует для дальнейшего распространения устройства NAS, а затем майнит Monero. А совсем недавно, в марте 2017 года, в сети был обнаружен шифровальщик Kirk, который эксплуатирует популярную франшизу «Звездный путь» и принимает выкуп в Monero.

Подписывайтесь на новости Forklog в VK!

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK