Sophos Labs ідентифікувала зловмисника, який використовує вразливість Exchange для криптомайнінгу: «Адміністратори повинні сканувати сервер Exchange на наявність веб-оболонок і відстежувати сервери на предмет незвичайних процесів, які з’являються нізвідки. Високе використання процесора невідомою програмою може бути ознакою криптомайнінгу або програм-вимагачів», — сказав Ендрю Брандт, головний дослідник загроз у Sophos.
Добре відомі нещодавні проблеми, пов’язані з уразливістю Microsoft Exchange Server, ще далеко не вичерпані.Навіть після патчів безпеки від 2 і 9 березня нові зловмисники все ще використовують експлойт для своїх атак. Наразі SophosLabs виявила невідомого зловмисника, який використовує вразливість «ProxyLogon» для встановлення криптомайнера, який атакує невиправлені сервери. «Майнер» належить до сімейства законних майнерів Monero з відкритим кодом xmr-stak. Ендрю Брандт, головний дослідник загроз у Sophos, розкриває більше деталей атаки криптомайнера.
Майнінг потік у гаманці Monero
«Наш аналіз цієї кампанії показує, що 9 березня вартість майнінгу потрапила в гаманці Monero зловмисників, і після цього атака швидко зменшилася. Це свідчить про те, що ми маємо справу з іншою швидко зібраною, опортуністичною та, можливо, експериментальною атакою, яка намагається вкрасти трохи легких грошей до того, як відбудеться широкомасштабне виправлення. Компанії повинні не тільки негайно встановлювати патчі на своїх серверах, але й продовжувати пильно за ними стежити.
Для більшості жертв першою ознакою компромісу, швидше за все, буде значне зниження потужності обробки. Сервери, які не виправлено, могли бути зламані протягом деякого часу, перш ніж це стане очевидним. Адміністратори повинні сканувати Exchange Server на наявність веб-оболонок і контролювати сервери на наявність незвичайних процесів, які, здається, виникають нізвідки. Високе використання процесора невідомою програмою може бути ознакою криптомайнінгу або програми-вимагача».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.