2min

Unit42, het onderzoeksteam van Palo Alto Networks, heeft een grootschalige cryptovaluta-mining operatie waargenomen. Deze activiteiten vinden al langer dan vier maanden plaats en proberen met behulp van open-source hulpprogramma xmrig de cryptocurrency monero te minen.

Palot Alto Networks denkt op basis van de beschikbare gegevens dat er wereldwijd minstens 15 miljoen slachtoffers van deze operatie zijn. De data toont anderzijds aan dat de meeste slachtoffers zich bevinden in Zuidoost-Azie, Noord-Afrika en Zuid-Amerika. Toch ligt het daadwerkelijke aantal slachtoffers waarschijnlijk veel hoger. Minder dan de helft van de voorbeelden die Palo Alto Networks identificeerde biedt namelijk telemetriegegevens via bitly. Als die data nauwkeurig is, kan het werkelijk aantal op zo’n 30 miljoen liggen.

De aanvallers maken gebruik van VBS-bestanden en online URL-diensten om xmrig te installeren. De gebruikte wallets worden daarbij verborgen door xmrig proxy services op de host te gebruiken. Toch geeft het gebruiken van de xmrig-miner de activiteiten een opvallend randje. Het gaat hier om een legale miner die uitsluitend bedoeld is voor monero. Door gebruik te maken van xmrig minen de cybercriminelen dus niet met malware.

Minen en bescherming

Het misbruiken van andermans apparaten om cryptovaluta te maken komt vaker voor. Doordat minen veel rekenkracht van een apparaat vraagt, merken slachtoffers soms dat een device trager is. Inmiddels zijn er al verschillende voorbeelden, waaronder misbruikte Oracle WebLogic-servers, dat cryptovaluta minen een activiteit is die cybercriminelen vaker uitvoeren. Sommige security-experts denken echter dat minen niet een al te groot probleem wordt, zo werd duidelijk tijdens een interview van Techzine met Avast.

Palo Alto Networks geeft aan dat klanten van het bedrijf beschermd zijn tegen deze dreiging. Dit komt doordat de URL’s die gebruikt worden door de miner zijn gemarkeerd als kwaadaardig. Ook zien we dat alle geobserveerde samples zijn geclassificeerd als kwaadaardig binnen WildFire. Bovendien kan Traps, de endpoint-bescherming van Palo Alto Networks, de dreiging blokkeren via WildFire integratie.