Een groep hackers is bezig met een scan van het volledige internet om kwetsbaarheden te vinden in bepaalde systemen die enterprise sandbox software gebruiken. Vervolgens gebruiken ze de zwakke punten om cryptovaluta te minen, in dit geval de Monero-cryptovaluta.
Volgens veiligheidsonderzoekers bij Bad Packets identificeren de scans kwetsbaarheden die de hackers toestaan om kwaadaardige code te draaien die een cryptovaluta-miner op de Docker-instances van een bedrijf plaatst.
Grote schaal
Troy Mursch, onderzoeker bij Bad Packets, vertelde aan ZDNet dat deze aanpak vrij uniek is, omdat de hackerscampagne op erg grote schaal plaatsvindt. Op dit moment zijn er minstens 59.000 unieke IP-netwerken geïdentificeerd die onderdeel uitmaken van het aanvalsoppervlak.
De miner die wordt geinjecteerd heet XMRig en minet Monero-coins. In de eerste twee dagen dat de malware actief was is er iets meer dan 14.8 Monero geminet, wat neerkomt op ongeveer 672 euro. Afhankelijk van hoe lang het duurt voordat de miner kan worden uitgeschakeld en hoeveel infecties nog plaatsvinden, kan dit bedrag dus aardig oplopen.
Geavanceerde extra functies
Een ander opvallend kenmerk van de malware is dat er een zelfverdedigingsmechanisme in zit, waardoor monitoring-software bijvoorbeeld wordt gedeïnstalleerd. Verder worden bepaalde processen die te maken hebben met andere cryptomining-botnets zelfs gedeïnstalleerd, dus ook de concurrentie wordt uitgeschakeld.
Daarbij komt nog dat hackers backdoor-accounts creëren op gehackte containers, waarna SSH-sleutels worden achtergelaten. Dit zorgt voor een manier om makkelijk geïnfecteerde bots te kunnen binnenkomen en van afstand te kunnen aansturen. Mursch raadt gebruikers aan om onmiddelijk na te gaan of er API-endpoints van hun Docker-instances open toegankelijk zijn op het internet, om zo meer problemen te voorkomen.
13 uur geleden
