Onderzoekers hebben een botnet ontdekt dat uit meer dan 15.000 Windows-servers bestaat en wordt gebruikt voor het minen naar verschillende digitale valuta. De servers worden op verschillende manieren gehackt, zoals oude kwetsbaarheden, onveilige configuraties en zwakke wachtwoorden.
Zo worden bekende, zwakke configuraties in phpMyAdmin uitgebuit, alsmede beveiligingslekken in JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL-servers, Apache Tomcat, Oracle Weblogic en andere veelgebruikte diensten. Met name Windows Server 2008-machines zijn getroffen. Meer dan de helft van het botnet draait deze Windows-versie. Als het gaat om locaties zijn de meeste besmette servers in de Verenigde Staten, Brazilië en India aangetroffen.
Zodra de aanvallers toegang hebben verkregen wordt er een remote access trojan (RAT) en een "cryptocurrency miner" geïnstalleerd. Afhankelijk van de gezochte digitale valuta wordt er een aparte miner geladen. Daarbij heeft de digitale valuta Monero de voorkeur, maar kan er ook voor ByteCoin, RieCoin of ZCash worden gekozen, zo meldt beveiligingsbedrijf GuardiCore. Het bedrijf biedt een detectie- en verwijderscript aan waarmee beheerders hun servers kunnen controleren. Ook laat het bedrijf zien hoe de infectie handmatig is te verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.