Η ESET ανακάλυψε μια νέα απειλή, όπου οι εισβολείς μολύνουν μη-ενημερωμένους Windows web servers με έναν κακόβουλο cryptocurrency miner, προκειμένου να εξορύξουν Monero - μια νεότερη μορφή κρυπτονομισμάτων, εναλλακτική του Bitcoin.
Η Microsoft κυκλοφόρησε τη σχετική ενημέρωση του λογισμικού της, ωστόσο, μέχρι σήμερα, σε πολλούς servers εξακολουθεί να μην έχει γίνει η εγκατάσταση της ενημέρωσης αυτής.
Για να πετύχουν τους στόχους τους, οι κυβερνοεγκληματίες τροποποίησαν νόμιμο λογισμικό ανοιχτού κώδικα που κάνει εξόρυξη Monero και εκμεταλλεύτηκαν μια γνωστή ευπάθεια στην έκδοση 6.0 του Microsoft IIS για να εγκαταστήσουν κρυφά το miner σε server χωρίς ενημερώσεις. Κατά την ανάπτυξη του κακόβουλου λογισμικού mining, οι εγκληματίες δεν έκαναν καμία αλλαγή στην αυθεντική, open-source βάση κώδικα, παρά μόνο πρόσθεσαν ενσωματωμένες παράμετρους εκτέλεσης του wallet address των κυβερνοεγκληματιών και το mining pool για τα URL. Σύμφωνα με την ESET, αυτή η διαδικασία θα μπορούσε να έχει ολοκληρωθεί από τους κυβερνοεγκληματίες μέσα σε λίγα μόνο λεπτά.
Ένα malware που αποφέρει κέρδη
Οι ειδικοί malware της ESET πιστεύουν ότι αυτή η κακόβουλη επιχείρηση συμβαίνει από τον Μάιο του 2017. Σε αυτό το διάστημα, οι κυβερνοεγκληματίες που βρίσκονται πίσω από τη συγκεκριμένη εκστρατεία δημιούργησαν ένα botnet εκατοντάδων μολυσμένων μηχανών και απέσπασαν κέρδη που ισοδυναμούν με Monero αξίας πάνω από 63.000 αμερικάνικων δολαρίων.
«Παρόλο που συγκριτικά με το Bitcoin, το συγκεκριμένο νόμισμα έχει χαμηλότερα μερίδια στην αγορά, υπάρχουν διάφοροι λόγοι για τους οποίους οι εισβολείς επέλεξαν να εξορύξουν Monero», δήλωσε ο Peter Kálnai, Malware Researcher της ESET. «Εμφανίζοντας χαρακτηριστικά όπως τις συναλλαγές που δεν εντοπίζονται και τον proof of work αλγόριθμο, γνωστό ως CryptoNight, που είναι «φιλικότερος» προς τις κεντρικές μονάδες επεξεργασίας υπολογιστών ή server, το Monero αποτελεί μια ελκυστική εναλλακτική λύση για τους εγκληματίες του κυβερνοχώρου. Η εξόρυξη Bitcoin αντίθετα, απαιτεί εξειδικευμένο hardware για mining.»
Εκμετάλλευση ευπαθειών
Αυτή η μορφή κακόβουλης δραστηριότητας αποτελεί απόδειξη του πόσο εύκολα, με ελάχιστες ικανότητες και χαμηλό λειτουργικό κόστος, μπορεί να προκληθεί ένα σημαντικό πρόβλημα. Στη συγκεκριμένη περίπτωση, αρκούσε η κατάχρηση ενός νόμιμου, open-source λογισμικού για εξόρυξη cryptocurrencies και η στόχευση παλαιών συστημάτων που πιθανόν να παραμείνουν χωρίς ενημερώσεις.
Τον Ιούλιο του 2015, η Microsoft ολοκλήρωσε την τακτική υποστήριξη ενημερώσεων για τον Windows Server 2003 και δεν είχε κυκλοφορήσει σχετικό patch για αυτή την ευπάθεια μέχρι το φετινό Ιούνιο, οπότε οι δημιουργοί malware εντόπισαν αρκετά τρωτά σημεία στα μη ενημερωμένα συστήματα.
Παρά το γεγονός ότι το σύστημα βρίσκεται μετά το τέλος του κύκλου ζωής του, η Microsoft προχώρησε σε έκδοση patches για αυτές τις κρίσιμες ευπάθειες, προκειμένου να αποφευχθεί η επανεμφάνιση μεγάλων επιθέσεων όπως της εκστρατείας WannaCry. Ωστόσο, είναι γεγονός ότι οι αυτόματες ενημερώσεις δεν λειτουργούν πάντα ομαλά και αυτό θα μπορούσε να επηρεάσει την ικανότητα του Windows Server 2003 να διατηρηθεί ενημερωμένος.
«Καθώς ένας σημαντικός αριθμός συστημάτων εξακολουθεί να παραμένει ευάλωτος, συνιστάται στους χρήστες του Windows Server 2003 να προχωρήσουν το συντομότερο δυνατόν στην ενημερωμένη έκδοση ασφαλείας KB3197835 και σε άλλα κρίσιμα patches», σημειώνει ο Michal Poslušný, Malware Analyst της ESET. «Εάν οι αυτόματες ενημερώσεις δεν λειτουργήσουν, προτρέπουμε τους χρήστες να κάνουν λήψη και εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας χειροκίνητα για να αποφύγουν να πέσουν θύματα κακόβουλων επιθέσεων».