Sophos Labs ha identificato un utente malintenzionato che utilizza una vulnerabilità di Exchange per il cryptomining: “Gli amministratori dovrebbero scansionare il server Exchange alla ricerca di web shell e monitorare i server per processi insoliti che sembrano apparire dal nulla. L'elevato utilizzo del processore da parte di un programma sconosciuto potrebbe essere un segno di attività di mining di criptovalute o ransomware", ha dichiarato Andrew Brandt, Principal Threat Researcher di Sophos.
I noti e recenti problemi relativi alle vulnerabilità di Microsoft Exchange Server sono tutt'altro che risolti: anche dopo le patch di sicurezza del 2 e 9 marzo, nuovi aggressori continuano a utilizzare l'exploit per i loro attacchi. I SophosLabs hanno ora identificato un utente malintenzionato sconosciuto che utilizza la vulnerabilità "ProxyLogon" per installare un cryptominer che attacca i server privi di patch. Il "minatore" appartiene alla famiglia xmr-stak di legittimi minatori Monero open source. Andrew Brandt, Principal Threat Researcher di Sophos, rivela maggiori dettagli sull'attacco del cryptominer.
Il mining è confluito nei portafogli Monero
"La nostra analisi di questa campagna mostra che il 9 marzo, i valori minerari sono confluiti nei portafogli Monero degli aggressori e l'attacco si è rapidamente ridimensionato in seguito. Ciò suggerisce che abbiamo a che fare con un altro attacco assemblato rapidamente, opportunistico e forse sperimentale che sta cercando di rubare denaro facile prima che si verifichino patch diffuse. Le aziende non dovrebbero solo applicare immediatamente le patch ai propri server, ma anche continuare a monitorarli da vicino.
Per la maggior parte delle vittime, è probabile che il primo segno di compromissione sia un calo significativo della potenza di elaborazione. I server che non sono patchati potrebbero essere stati compromessi per un po' di tempo prima che diventi evidente. Gli amministratori dovrebbero eseguire la scansione di Exchange Server per web shell e monitorare i server per processi insoliti che sembrano apparire dal nulla. L'elevato utilizzo del processore da parte di un programma sconosciuto potrebbe essere un segno di attività di mining di criptovalute o ransomware".
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.