Hakerzy często wykorzystują luki w zabezpieczeniach komputerów do przeprowadzania ataków. Tak dzieje się w przypadku nowego botnetu, który stara się wydobywać kryptowaluty zarówno w systemach Windows, jak i Linux. Skanuje w poszukiwaniu luk, aby osiągnąć swój cel. To Sysrv-hello i zostało odkryte przez Alibaba Cloud.
Sysrv-hello, botnet wyszukujący luki w zabezpieczeniach systemu Windows lub Linux
Wydobywanie ukrytych kryptowalut jest problemem, o którym należy być bardzo świadomym, ponieważ może doprowadzić nasz komputer do skrajności i wpłynąć nie tylko na wydajność, ale także na komponenty sprzętowe. Jest to rodzaj zagrożenia, które w ostatnich latach znacznie wzrosło w związku z rozwojem walut cyfrowych.
Ostatecznie hakerzy szukają sposobów na zysk. Tworzą nowe techniki ataków, szukają błędów, które mogą wykorzystać, i ostatecznie infekują komputery ofiar. Dzięki Sysrv-hello udało im się przemycić botnet do wydobywania kryptowalut zarówno w systemie Windows, jak i Linux. W szczególności wydobywa Monero, jedną z najpopularniejszych kryptowalut.
Ten botnet został po raz pierwszy odkryty w lutym, ale jest aktywny od grudnia 2020 r. W marcu odnotowano znaczny wzrost nieaktywności. Został teraz zaktualizowany, aby móc korzystać z pojedynczego pliku binarnego zdolnego do automatycznego wyodrębniania i przenikania złośliwego oprogramowania na inne urządzenia.
Jak działa Sysrv-hello? Zasadniczo przeszukuje Internet w poszukiwaniu podatnych na ataki komputerów. W ten sposób mógłby zainfekować te systemy i wprowadzić swoją armię botnetów oraz rozpocząć wydobywanie Monero.
Według badaczy bezpieczeństwa opierają się na lukach, które znajdują podczas zdalnego wykonywania kodu w PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic i Apache Struts.
Należy zauważyć, że po pomyślnym włamaniu do serwera to złośliwe oprogramowanie może rozprzestrzeniać się w sieci poprzez ataki siłowe przy użyciu prywatnych kluczy SSH, które zbiera z zainfekowanych serwerów.
Wykorzystano głównie sześć luk w zabezpieczeniach, które są następujące:
- Mongo Express RCE (CVE-2019-10758)
- XML-RPC (CVE-2017-11610)
- Saltstack RCE (CVE-2020-16846)
- Drupal Ajax RCE (CVE-2018-7600)
- ThinkPHP RCE (bez CVE)
- XXL-JOB Unauth RCE (bez CVE)
Jak zabezpieczyć się przed kopaniem kryptowalut?
Widzieliśmy, jak ten nowy botnet może infekować systemy Windows lub Linux, aby przeprowadzać ataki i wydobywać kryptowaluty. Możemy jednak napotkać podobne zagrożenia, które mogą wykorzystać nasze komputery, aby osiągnąć swój cel. Należy pamiętać o unikaniu ataków botnetów.
Niewątpliwie najważniejszą rzeczą, aby nie paść ofiarą tego problemu, jest posiadanie zaktualizowanego sprzętu. Widzieliśmy, że w tym przypadku potrzebujesz podatnych na ataki, przestarzałych systemów. Dlatego najważniejszą radą jest ciągłe aktualizowanie komputerów. Nie ma znaczenia, jakiego systemu operacyjnego używamy.
Istotne będzie również posiadanie programów bezpieczeństwa. Dobry program antywirusowy może pomóc w zapobieganiu wielu odmianom złośliwego oprogramowania, które w ten czy inny sposób mogłoby nas zagrozić. Konieczne jest zastosowanie tego bez względu na używany system operacyjny.
Ale inną fundamentalną kwestią jest również zdrowy rozsądek. Musimy unikać popełniania błędów, które mogą zostać wykorzystane przez hakerów i narazić nasze komputery na ryzyko. Na przykład błędem byłoby pobieranie programów z witryn innych firm bez sprawdzania, czy są one legalne, pobieranie załączników, które mogą być niebezpieczne, lub logowanie się do niezabezpieczonej sieci.