NUOVO MALWARE PER IL MINING, MASSMINER
L’IMPORTANZA DI AVERE SERVER E COMPUTER AGGIORNATI
Una nuova ondata di Malware per il Mining di criptovalute si è presentata in Internet e ci ricorda l’importanza di avere sempre tutte le macchine aggiornate con un occhio di riguardo a quelle più sensibili, come i Server.
Qualche giorno fa i ricercatori di Alien Vault hanno identificato MassMiner, una nuova famiglia di malware per il mining, a conferma di quanto avevamo già scritto circa due mesi fa e cioè che questo tipo di malware sembra essere ormai preferito dai criminali rispetto ai Ransomware. Molte sono le varianti di questo malware e se ne riscontra una continua diffusione.
In questo caso MassMiner sfrutta varie vulnerabilità note nei sistemi e nei server, in particolare quella Oracle WebLogic Server (CVE-2017-10271), quella SMB EternalBlue (CVE-2017-0143) e quella di Apache Struts (CVE-2017-5638), inoltre attraverso attacchi a forza bruta tenta di accedere a database SQL e in alcuni casi installa anche una backdoor permettendo così di bypassare le protezioni perimetrali dell’azienda e garantendo al criminale un accesso continuo e nascosto alla rete attaccata.
Il malware attacca i sistemi vulnerabili attraverso l’esecuzione di uno script “Microsoft VBScript”, pertanto può entrare in un sistema attraverso vari sistemi, dall’allegato di posta, al file scaricato così come può attaccare server web e sistemi esposti in internet. Una volta entrato, si diffonde prima sulla rete locale cercando altre macchine vulnerabili ma poi anche in internet con potenti e veloci strumenti di scansioni di massa. Infine inizia ad estrarre dai sistemi coinvolti la criptovaluta Monero e la invia al criminale.
Trattandosi di malware di mining non è facile identificarlo, se non riscontrando una decadenza delle prestazioni delle macchine coinvolte, da loro comportamenti anomali, da un sistema antimalware evoluto e da un’analisi del traffico di rete. Sulla pagina dei ricercatori che l’hanno individuato sono indicati inoltre i Wallet appartenenti ai criminali e svariati altri segni di compromissione.
Scansioni di vulnerabilità approfondite permetterebbero di prevenire infezioni e attacchi in quanto individuano le vulnerabilità che vengono sfruttate dai criminali attraverso il malware. Per quanto le aziende si sforzino di tenere aggiornati tutti i sistemi, purtroppo, qualcosa sfugge sempre ed è dove si insinuano i criminali. Solo scoprendo le vulnerabilità esistenti le aziende potranno capire dove agire prima per prevenire intrusioni di criminali e malware.