En ny stamme af ransomware er blevet observeret rettet mod Bitcoin mining metoder. På tidspunktet for skriftligt, er de fleste af de infektioner, der er blevet rapporteret i Kina, landet, hvor de fleste af verdens cryptocurrency minedrift bedrifter er placeret.
Opkaldt hAnt, denne nye ransomware stamme blev første gang set i August sidste år, men en ny bølge af infektioner er blevet rapporteret at ramme minedrift gårde tidligere i denne måned.
De fleste af de inficerede minedrift rigge er Antminer S9 og T9-enheder, der anvendes til Bitcoin mining, men der har også været rapporter om hAnt inficere Antminer L3 rigge, der anvendes til minedrift Litecoin. I sjældne tilfælde, Avalon Miner udstyr (bruges til Bitcoin), blev også rapporteret som værende inficeret, men i langt mindre antal.
Det er uklart, hvordan skurke første inficere en minedrift farm ‘ s data center eller udstyr, men nogle Kinesiske sikkerhedspolitiske eksperter peger på, at hAnt kommer skjult inde plettet versioner af minedrift rig firmware, der har været at gøre runder online siden sidste sommer.
Ifølge rapporter i Kinesiske medier, når hAnt inficerer en minedrift rig, er det straks låser enheden og forhindrer det fra minedrift nogen nye valuta.
Når udstyr ejere tilslutte enheder eksternt (via en CLI) eller manuelt (ved hjælp af LCD-skærme), den første ting, de ser, er splash skærmen der skildrer en myre og to hakker i grøn ASCII-tegn, svarende til red skull-velkomstbilledet vises af NotPetya ransomware.
Billede: yibenchain.com
At klikke hvor som helst på skærmen eller trykke på en vilkårlig tast indlæser hAnt løsesum bemærk, på både engelsk og Kinesisk tekst.
Den løsesum, der venligst er noget unik i forhold til krav om løsepenge ses på desktop ransomware varianter, fordi ofrene er givet et valg.
De kan enten betale en 10 Bitcoin ($36,000) løsesum for at fjerne ransomware fra minedrift rig, eller de kan downloade en skadelig firmware opdatering, at de er nødt til at anvende andre mining metoder til yderligere at sprede ransomware.
Hvis ofre ikke til at betale løsepenge eller inficere mindst 1.000 andre enheder, løsepenge bemærk truer med at slukke minedrift rig-fan og sine overophedningsbeskyttelse, der fører til enhed ødelæggelse.
Billede: yibenchain.com
Der har ikke været rapporter om nogen ødelagt udstyr endnu, hvilket tyder på, at dette er en tom trussel, men eksperter siger, hAnt kunne teoretisk misbrug af en overclocking-funktion i Antminer firmware til at overophede og kompromis enheder.
I stedet har der været rapporter om, at hAnt kan også sprede sig på sin egen, automatisk, at andre minedrift udstyr, der er sluttet til det samme netværk, men denne mekanisme ikke er blevet forklaret i mere tekniske detaljer, som i endnu.
Men en hAnt orm-lignende komponent ville forklare en rapport fra Yibenchain, den Kinesiske nyhedsbureau hjemmeside, som først brød historie. Nyheder stikkontakt nævnt et executive fra BTC.Top, en lokal Bitcoin mining company, som hævdede, at hAnt inficeret over 4.000 enheder inden for få minutter.
Ud over økonomiske tab som følge af hAnt efter ransomware stoppet normal minedrift, ofre har også rapporteret om tab som følge af den tid, det tager at reflash inficeret minedrift udstyr SD-kort for at fjerne ransomware og installere ren firmware.
Sidste år, Bitmain, selskabet bag Antminer linje af minedrift rigge udsendt en sikkerhedsadvarsel advarsel kunder ikke at installere firmware hentes fra andre sites. Indberetningen omfatter også rådgivning om sikring af alle former for minedrift rigge, ikke bare Antminer udstyr.
Den engelske version hAnt løsesum venligst nedenfor:
Jeg er hAnt! Jeg fortsætter med at angribe din Antminer. Så længe du sprede det inficerede maskine, min server kontrollerer, at der er 10 nye ip ‘ er, og antallet af antminers når op på 1.000. Jeg vil stoppe med at angribe dig! Ellers vil jeg slukke dit antminer er fan og overophedningsbeskyttelse, som vil få dig til at brænde din maskine eller vil brænde huset.
Klik på “Diwnload firmware patch’ – knappen for at hente firmware patch med dine specifikke ID. Bare opdatere det til din normale Antminer at blive smittet.
Du kan bringe den maskine, der har opdateret patch til en anden computer rummet for at fuldføre infektion, eller få andre til at bruge den firmware patch i netværksgruppen.
Eller støtte 10 BTCs, jeg vil holde op med at angribe.
Mere sikkerhed dækning:
DHS spørgsmål sikkerhedsadvarsel om de seneste DNS kapring attacksTemporary fix rådighed for den ene af de to Windows nul-dage udgivet i DecemberMystery stadig omgiver hack af PHP PEAR-websiteOver 4 procent af alle Monero blev udvundet af malware botnets
Sikkerhed forskere tage ned 100,000 malware sites i løbet af de sidste ti monthsSecurity fejl fundet i 26 low-end cryptocurrenciesBrave browser nu kan vise annoncer, og snart vil du få 70% af de penge, CNET
Hvorfor cryptojacking vil blive et endnu større problem i 2019 TechRepublic
Relaterede Emner:
Blokkæden
Sikkerhed-TV
Data Management
CXO
Datacentre