Компанія ESET — лідер у галузі проактивного виявлення — попереджає про поширення нової загрози, за допомогою якої хакери інфікують уразливі веб-сервери Windows шкідливою програмою для майнінгу криптовалюти Monero — нової альтернативи криптовалюті Bitcoin. Компанія Microsoft випустила оновлення, але багато серверів залишаються без застосованого виправлення до сьогодні.
Кіберзлочинці змінили легітимне відкрите програмне забезпечення для майнінгу Monero і використовують відому уразливість у Microsoft IIS 6.0 для прихованої інсталяції шкідливої програми на серверах без встановленого оновлення. Під час створення шкідливого програмного забезпечення для майнінгу кіберзлочинці не змінювали початковий вихідний код, окрім додавання жорстко закодованих параметрів адреси гаманця зловмисників та URL-адреси «пулу» для майнінгу. Для цього кіберзлочинцям потрібно було лише кілька хвилин.
Спеціалісти ESET припускають, що шкідлива діяльність зловмисників триває з травня 2017 року. Протягом цього часу кіберзлочинці створили ботнет із сотні заражених машин і заробили більше $63 000.
«Попри більшу ринкову капіталізацію Bitcoin, існує ряд причин, чому кіберзлочинці займаються майнінгом саме криптовалюти Monero, — розповідають дослідники ESET. — Зокрема майнінг криптовалюти Bitcoin вимагає спеціалізованого апаратного забезпечення. А такі функції, як неможливість відслідкувати транзакції та алгоритм CryptoNight, роблять криптовалюту Monero привабливою альтернативою для кіберзлочинців».
Така шкідлива діяльність показала, що мінімальних навичок та низьких витрат кіберзлочинців достатньо для отримання результату. Зокрема у цьому випадку кіберзлочинці використали легітимне програмне забезпечення з відкритим кодом для майнінгу криптовалюти, спрямувавши вектор інфікування на старі системи без застосованого виправлення.
У липні 2015 року Microsoft припинила підтримку регулярного оновлення для Windows Server 2003 і не випускала виправлення для цієї уразливості до червня цього року. У цей час автори шкідливих програм виявили кілька критичних уразливостей для старих систем.
Незважаючи на завершення терміну експлуатації, Microsoft випустила виправлення цих критичних уразливостей для запобігання таким великим атакам, як WannaCry. Однак проблеми з автоматичними оновленнями можуть спричинити відсутність актуальних оновлень Windows Server 2003.
«Оскільки значна кількість систем все ще уразливі, користувачам Windows Server 2003 рекомендується якомога швидше застосувати оновлення безпеки, KB3197835 та інші важливі виправлення, — розповідають спеціалісти ESET. — У разі збоїв автоматичних оновлень користувачам потрібно завантажувати та встановлювати оновлення безпеки вручну, щоб не стати жертвою атак кіберзлочинців».