image

Cryptominer-botnet besmet 526.000 Windows-machines

donderdag 1 februari 2018, 14:17 door Redactie, 5 reacties

Een botnet dat besmette machines naar de cryptovaluta Monero laat minen bestaat inmiddels uit meer dan 526.000 Windows-machines en heeft de beheerders miljoenen dollars opgeleverd, zo claimt securitybedrijf Proofpoint. De cryptominer, genaamd Smominru, wordt onder andere via de EternalBlue-exploit van de NSA verspreid. Ook maken de aanvallers waarschijnlijk gebruik van de EsteemAudit-exploit van de NSA.

Deze exploit is gericht tegen het Remote Desktop Protocol (RDP) op machines met Server 2003 en Windows XP. De meeste besmette machines die onderdeel van het botnet zijn bevinden zich in Rusland, India en Taiwan. Proofpoint-onderzoeker 'Kafeine' stelt dat het afgelopen jaar de hoeveelheid malware die over een cryptominer beschikt sterk is toegenomen. De onderzoeker verwacht dan ook dat er meer botnets zoals het Smominru-botnet zullen verschijnen. Dat sluit aan bij de analyse van Cisco, waarin wordt gesteld dat cybercriminelen steeds vaker ransomware voor cryptominers verruilen.

Het Russische securitybedrijf Dr. Web kwam eerder ook al met een analyse waarbij Windows-servers worden gehackt en gebruikt voor het minen van de cryptovaluta Monero en Aeon. Het gaat in dit geval om servers die Cleverence Mobile SMARTS Server draaien. Vorig jaar werd er een ernstige kwetsbaarheid in de software gepatcht, maar niet alle beheerders hebben de update uitgerold. Via de kwetsbaarheid kan de server worden overgenomen en de miner geïnstalleerd. Wanneer beheerders het miner-proces proberen te sluiten zal Windows een "emergency shutdown" uitvoeren en een blue screen of death (BSOD) laten zien. Ook probeert de malware de services van verschillende anti-virusproducten te verwijderen.

Reacties (5)
01-02-2018, 14:45 door Anoniem
Windows 2003 en XP .... tja, dan heb je ook gewoon recht op ellende als je dat nu nog gebruikt.
01-02-2018, 15:46 door ph-cofi - Bijgewerkt: 01-02-2018, 15:46
Een half miljoen maar liefst. Onbeheerde machines, qua CPU veel krachtiger dan de "te verbieden" IoT devices. Hoezo VM huren, hack er gewoon een. Hoe kan de wereld de eigenaren van deze machines opvoeden? Je zou bijna willen dat providers software-met-verlopen-licenties kunnen weren het internet op te gaan.
01-02-2018, 19:44 door karma4
https://www.bleepingcomputer.com/news/security/malware-epidemic-monero-mining-campaigns-are-becoming-a-real-problem/
Ik kon alleen wat Russische sites over de gehackte software vinden. Het blijkt specifiek om de Russische markt te gaan.
Geen wonder van overjarige verouderde software.
02-02-2018, 10:54 door Anoniem
kijk het heeft ook eeuwen geduurt voordat de mensheid door had dat je handen wassen en hygiene in een ziekenhuis nodig was. dit zal dus ook nog wel een tijdje door gaan etteren; oude windwoze machines over de wereld die zo gepowned worden. natuurlijk helpt het dan ook niet zoals MS met updates aan de slag gaat en dat kan ook anders namelijk (weten sommigen uit ervaring).
02-02-2018, 14:40 door Anoniem
Door Anoniem: Windows 2003 en XP .... tja, dan heb je ook gewoon recht op ellende als je dat nu nog gebruikt.

Ben het met je eens, ook al hebben wij er nog een 2003 staan zonder internet verbinding.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.