Monero pode ter toda sua rede infectada…

O Monero, uma relativamente nova criptomoeda que ainda pode ser extraída em PCs, tem captado a atenção dos autores de malware e ciber criminosos que conceberam um exploit para infectar servidores FTP para roubar a criptomoeda.

Attila Marosi, pesquisador sênior da empresa de segurança cibernética, Sophos, descobriu o malware, chamado Mal / Miner-C. Ele usa uma técnica eficaz para se espalhar e obter novos nós para calcular hashes para criptomoeda como meio de compromisso. O malware também tenta duplicar-se ao corromper pastas FTP abertas e vulneráveis, Marosi acrescentou.

O pesquisador sênior estima que o Mal / Miner C tinha, até agora, extraído minerado Monero equivalente à 76,599 euros, ou cerca de US $ 86.000. Além disso, o malware tinha infectado maquinas o bastante para ganhar 428 euros ou US $ 480 a cada dia.

Outro fato surpreendente das descobertas de Marosi; da totalidade de mineradores de Monero, 2,5% vem de maquinas infectadas.

A vulnerabilidade – a unidade NAS da Seagate.

O relatório coloca os holofotes sobre a Seagate Central, um dispositivo de armazenamento anexado à rede (NAS), que contém uma falha de design fundamental. A vulnerabilidade deixa o dispositivo aberto a exploração de hackers que poderiam carregar malwares para qualquer dispositivo configurado e permitir acesso remoto para a unidade.

Com o acesso remoto ativado, os servidores FTP permitem que usuários anônimos ganhem acesso a uma pasta pública, deixando a porta entreaberta para fazer upload de qualquer arquivo. No caso do Mal / Miner-C, os atacantes fazem upload de um arquivo que se assemelha a um protetor de tela – Photo.scr, dentro da pasta “Fotos”. Com a premissa de ser inócua, alvos que caem para a exploração desencadeiam o malware com um duplo clique no arquivo.

Enquanto a desativação do acesso remoto para a unidade pode impedir a vulnerabilidade, ele também desabilita o acesso remoto à unidade. Esta derrota a finalidade inteira de um drive NAS e não é a solução. Inevitavelmente, os atacantes tomaram nota.

“A maioria de todos esses dispositivos já foram infectados por esta ameaça”, Marosi escreveu.

Usando a Internet e o buscador especifico, Censys, Marosi digitalizou na internet cerca de 3 milhões servidores FTP para detectar casos de ameaça. Enquanto 2,1 milhões de servidores FTP eram ativos durante o teste, mais de 207.000 desses servidores ativos permitidos o acesso remoto anônimo. Mais de 7.000 desses servidores anônimos também tinham acesso de gravação habilitado. Desse número, 5.137 servidores já foram comprometidos com o Mal / Miner-C.

Enquanto a Seagate Central não é a única unidade NAS vulnerável, representa uma grande maioria das pessoas exploradas.

Mal / Miner C atacou a moneropool.com em sua reserva primária, Marosi descobriu. Outras investigações revelaram que os servidores infectados têm a capacidade de gerar 431.000 hashes por segundo da mineração Monero. Isso é cerca de metade da totalidade das moneropool.com que registra 861.000 hashes por segundo.

Não há servidor pequeno o bastante.

De forma alarmante, os atacantes já orientaram e comprometeram mais de 70% dos servidores com acesso de gravação ativado, são as conclusões do relatório.

Além disso, Marosi acrescentou:

Se você acha que é muito pequeno e insignificante para ser de interesse dos cibercriminosos, e, acredita que, a obtenção de segurança é coisa com que só os grandes precisam se preocupar, é melhor ficar atento. Se você não fizer parte da solução com certeza fará parte do problema.