Ботнет BondNet успешно майнит криптовалюту Monero, заражая Windows-серверы

Ботнет BondNet успешно майнит криптовалюту Monero, заражая Windows-серверы

Специалисты изучили очередной крупный ботнет, который используется для получения различных криптовалют

Специалисты GuardiCore сообщили об обнаружении крупного ботнета, в который вовлечено порядка 15 тысяч серверов. В настоящее время сеть используется злоумышленниками для получения криптовалюты (майнинг), позволяя зарабатывать примерно 25 тысяч долларов в месяц.

Эксперты рассказали, что впервые ботнет был зафиксирован в конце 2016 года, однако оперативно увеличился до 15 тысяч устройств на базе Windows Server. При этом порядка 2 тысяч серверов активны ежедневно. В компании полагают, что оператор вредоносной сети находится в Китае и использует псевдоним Bond007.01 (об этом свидетельствуют комментарии в коде). Именно поэтому новый ботнет получил название BondNet. В большинстве случаев злоумышленник интересуется криптовалютой Monero, также были зафиксированы случаи майнинга валют ZCash, RieCoin и ByteCoin.

Активное расширение ботнета специалисты объясняют тем, что владелец тратит немало времени и средств на взлом новых устройств. Известно, что злоумышленник использует различные схемы атак, успешно комбинируя брутфорс и различные эксплойты. Bond007.01 взламывает как системы с плохо защищенными учетными данными RDP (удаленный рабочий стол), так и более защищенные системы. В этом случае эксплуатируются уязвимости различных типов в Oracle Weblogic, Apache Tomcat, MSSQL, ElasticSearch, phpMyAdmin, JBoss и других платформах.

Если сервер успешно взломан, злоумышленник инсталлирует на машину майнер криптовалют для получения прибыли и бэкдор. Кроме того, скомпрометированные серверы используются для поиска новых потенциальных жертв (используется сканер портов WinEggDrop).

Специалисты GuardiCore отметили, что все взломанные сервера функционируют на базе Windows Server, более половины из них используют версию 2008 R2. К опубликованному отчету эксперты приложили специальное приложение, которое способно помочь администраторам оперативно выявить заражение и полностью удалить Bondnet из операционной системы.

Комментариев нет

close

Оставьте комментарий

Заполните все поля