A Sophos Labs identificou um invasor usando uma vulnerabilidade do Exchange para criptomineração: “Os administradores devem verificar o servidor Exchange em busca de web shells e monitorar os servidores em busca de processos incomuns que aparecem do nada. O alto uso do processador por um programa desconhecido pode ser um sinal de atividade de mineração de criptografia ou ransomware”, disse Andrew Brandt, principal pesquisador de ameaças da Sophos.
Os conhecidos problemas recentes relacionados às vulnerabilidades do Microsoft Exchange Server estão longe de terminar. Mesmo após os patches de segurança de 2 e 9 de março, novos invasores ainda estão usando o exploit para seus ataques. A SophosLabs agora identificou um invasor desconhecido usando a vulnerabilidade "ProxyLogon" para instalar um criptominerador que ataca os servidores não corrigidos. O “mineiro” pertence à família xmr-stak de legítimos mineradores Monero de código aberto. Andrew Brandt, Pesquisador Principal de Ameaças da Sophos, revela mais detalhes do ataque do criptominerador.
A mineração fluiu para as carteiras Monero
“Nossa análise desta campanha mostra que em 9 de março, os valores de mineração fluíram para as carteiras Monero dos atacantes e o ataque rapidamente reduziu seu escopo a partir de então. Isso sugere que estamos lidando com outro ataque rapidamente montado, oportunista e possivelmente experimental, que está tentando roubar algum dinheiro fácil antes que ocorram patches generalizados. As empresas não devem apenas corrigir seus servidores imediatamente, mas também continuar a monitorá-los de perto.
Para a maioria das vítimas, o primeiro sinal de comprometimento provavelmente será uma queda significativa no poder de processamento. Os servidores sem patches podem ter sido comprometidos por algum tempo antes que isso se torne aparente. Os administradores devem verificar o Exchange Server em busca de shells da Web e monitorar os servidores em busca de processos incomuns que parecem surgir do nada. O alto uso do processador por um programa desconhecido pode ser um sinal de atividade de mineração de criptografia ou ransomware.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.