Posledných pár mesiacov si povesť vybudoval nový gang hackerov, ktorý sa nabúrava do slabo zaheslovaných serverov SQL databáz od firmy Microsoft (MSSQL). Infikované servery následne využíva na ťažbu kryptomien.
Tencent researchers found the MrbMiner cryptocurrency-mining malware to have infected thousands of MSSQL databases https://t.co/xEV4nJfagd
— Virus Bulletin (@virusbtn) September 17, 2020
Original report in Chinese at https://t.co/6MZCZmW7hA pic.twitter.com/Aha1glqFib
Názov MrbMiner dal skupine hekerov a ich malvéru čínsky tech-gigant Tencent v správe, ktorú publikoval tento mesiac. Výskumníci zároveň avizovali i tisíce napadnutých databáz.
Podľa výskumníkov záškodníci nenechali nič na náhodu a vytvorili verzie malvéru aj pre servery Linux a systémy založené na ARM.
Hekeri získavajú administrátorský prístup ku MSSQL serverom za pomoci brute-force útoku. Po získaní prístupu do systému si vytvoria perzistenciu pomocou inštalácie assm.exe súboru. V neposlednom rade naviažu komunikáciu s C&C serverom a spojazdnia aplikáciu na dolovanie kryptomeny Monero (XMR).
Jedna z Monero peňaženiek, ktorú MrbMiner použili na skladovanie kryptomien vyťažených pomocou prístupu k MSSQL severom, uchovávala v prepočte približne 630 dolárov.
Administrátori môžu prítomnosť napadnutia MrbMinerom v systéme detekovať podľa prihlasovacieho mena „Default” a hesla „@fg125kjnhn987″.
Sabína Huťová