Zero
Un énorme cryptojacking campagne a frappé le Brésil à travers l’asservissement des routeurs MikroTik et les périphériques réseau.
Selon Trustwave chercheur Simon Kenin, le 31 juillet, une augmentation de Coinhive activité a été détectée, ce qui indiquait qu’un malveillant cryptocurrency exploitation minière est en cours.
Dans un billet de blog, le chercheur affirme que, lors de la poursuite de l’examen, il est apparu à MikroTik appareils qui sont impliqués.
La lettonie à base de MikroTik fournit de l’équipement de réseau pour les clients dans le monde entier, et dans cette campagne, le Brésil est le pays qui a été ciblé.
Il pourrait avoir été un étrange coïncidence et rien de plus qu’un ensemble de compromis se produisent en même temps, mais Kenin remarqué que tous les appareils ont été en utilisant le même Coinhive sitekey.
Coinhive est légitime que les logiciels utilisés, généralement dans le navigateur, par des sites web pour emprunter des visiteurs de la puissance CPU temporairement en vue de la mine de la monnaie virtuelle Monero. Abus généralisé de l’script a conduit à de nombreux antivirus et solutions de cybersécurité des entreprises de blocage du script.
Si le même sitekey était en cours d’utilisation, ce qui indique que tous les périphériques impliqués étaient de l’exploitation minière pour l’or virtuel au nom d’une entité qui les contrôle.
Alors que Trustwave estime que jusqu’à 175 000 appareils ont été compromis, chercheur en sécurité Troy Mursch dit Bleeping Computer qu’un deuxième sitekey est utilisé par environ 25 000 routeurs.
Si les deux clés sont l’œuvre d’une même menace pour l’acteur, ce qui porte le nombre à environ 200 000 personnes.
Trustwave
Il a fallu creuser par le chercheur afin de trouver un lien entre la Coinhive activité spike et MikroTik. Un routeur développé par la société a été retracée à un compromis dans un hôpital au Brésil, et une personne ayant des problèmes avec leur propre système de posté sur Reddit à peu près au même moment, dans l’espoir de trouver de l’aide fourni quelques indices.
TechRepublic: Google tuer les extensions de Chrome pour l’exploitation minière cryptocurrency
L’utilisateur en question a dit que chaque page web, ils ont visité injecté le Coinhive code, et ni changer les DNS ou le retrait du routeur aidé.
“À ce stade, il est intéressant de noter que les routeurs MikroTik sont utilisés par les fournisseurs d’accès à Internet et de grandes organisations, et dans ce cas, il semble que le post Reddit qui est l’auteur FAI avaient leur routeur compromise, de même que le routeur de l’hôpital je l’ai mentionné plus haut dans le post,” le chercheur a dit.
Un tweet de MalwareHunter puis a fourni un lien.
Le message mentionné une “masse exploitation” de MikroTik appareils. Cependant, la vulnérabilité qui a permis à l’entreprise de routeurs pour devenir cryptocurrency minière esclaves était pas de zéro-jour; au lieu de cela, il est CVE-2018-14847, connu pour ses failles de sécurité affectant Winbox pour MikroTik RouterOS.
Jusqu’à la version 6.42 du logiciel, des attaquants distants sont en mesure de contourner l’authentification et de lire des fichiers arbitraires par la modification d’une demande de changement d’un octet liées à un ID de Session, en fonction de la description de la vulnérabilité.
Voir aussi: The Pirate Bay se transforme transparent: Peut cryptocurrency minière vraiment remplacer annonces?
La masse à l’exploitation de ces appareils n’est pas nécessairement le vendeur du défaut. Le bug a été corrigé, à l’intérieur d’une journée de découverte, mais malheureusement, des centaines de milliers de dispositifs n’ont pas été mis à jour, les laissant vulnérables à exploiter.
En utilisant la faille de sécurité, la menace de l’acteur responsable de la campagne a été en mesure de compromettre les routeurs pour injecter le Coinhive script dans chaque page web visitées par l’utilisateur.
On ne sait pas qui est derrière la campagne, mais Kenin estime que “l’attaquant est clairement un niveau élevé de compréhension de la façon dont ces routeurs MikroTik travail.”
CNET: Bitcoin valeur plonge dans le sillage du Sud-coréenne de change hack
Cette campagne est encore un autre exemple de ce qui peut se produire sur une grande échelle devrait appareils individuels ne pas recevoir de mises à jour de sécurité.
De la même manière que la Mirai l’Ido botnet a été en mesure de briser la dévastation due à la non garantie, de la consommation des appareils domestiques, l’individu de la sécurité de nos appareils doit être pris plus au sérieux.
“Ransomware prise de conscience a augmenté de manière significative, dans de nombreux cas, même si un attaquant parvient à chiffrer les fichiers des utilisateurs, de nos jours, les sauvegardes,” le chercheur ajouté. “Ce qui signifie qu’ils ne peuvent pas payer la rançon et aussi souvent qu’ils utilisé pour. Les mineurs, d’autre part, peuvent être beaucoup plus furtif, de sorte qu’un seul ordinateur donnerait plus d’argent à partir de ransomware si l’utilisateur finit par payer, un attaquant préfèrent un furtif mineur pour une plus longue période de temps.”
Précédente et de la couverture liée
‘Inviolable’ Bitfi porte-monnaie cirque plaisirs des chercheurs en sécurité avec le piratage défier un Autre hack roches cryptocurrency de négociation: Bancor perd de 13,5 millions de dollars gouvernement du royaume-UNI de sites web, ICO détourné par cryptocurrency exploration de logiciels malveillants
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0