Malware: Wurm macht Windows- und Linux-Server zu Monero-Minern

Die Schadsoftware nutzt offene Ports von Diensten wie MySQL aus und setzt darauf, dass sie mit schwachen Passwörtern gesichert sind.

Artikel veröffentlicht am ,
Monero-Mining benötigt weit weniger Schaufelradbagger und ist trotzdem für die Angreifer lukrativ.
Monero-Mining benötigt weit weniger Schaufelradbagger und ist trotzdem für die Angreifer lukrativ. (Bild: Pixabay.com)

Sicherheitsforscher von Intezer haben eine Wurminfrastruktur entdeckt, die Linux- und Windows-Server angreift, um diese für das Schürfen von Monero zu verwenden. Die Kryptowährung wird typischerweise mit herkömmlichen CPUs und GPUs statt spezialisierten Asics berechnet. Daher eignen sich angreifbare x86-Systeme dafür gut. Auf der eigenen Webseite beschreibt das Security-Unternehmen, wie der Wurm arbeitet und welche Dienste er ausnutzt.

Stellenmarkt
  1. Mitarbeiter Business Application Management - Schwerpunkt Business Intelligence (m/w/d)
    Emsland Group, Emlichheim
  2. Junior IT-Berater (m/w/d) Personaleinsatzplanung inhouse
    Helios IT Service GmbH, deutschlandweit
Detailsuche

Intezer bestätigt, dass der Wurm über einen zentralen Command-and-Control-Server verteilt wird. Dieser wird wohl auch noch immer aktuell gehalten, was auf eine aktive Hacking-Gruppe schließen lässt. Der Ansatz verwendet öffentlich einsehbare Schnittstellen von Diensten wie MySQL, Tomcat und Jenkins - und damit zusammenhängende Ports wie 8080, 7001 und 3306. Mithilfe eines Brute-Force-Angriffs errät das System schwache Passwörter. Dabei werde auch ein Dictionary-Ansatz zur Hilfe genommen, der zuerst häufig genutzte Begriffe ausprobiert.

Wurm verbreitet sich selbstständig im Netzwerk

Kann der Wurm erst einmal diese Hürde überwinden, wird ein Dropper-Script per Bash oder Powershell verteilt, welches wiederum einen MXRig-Miner installiert. Der Wurm kann sich selbstständig in Netzwerken weiterverbreiten und so die Ressourcen mehrerer Server einsetzen und zum Kryptomining nutzen. Derzeit werde der Angriff von Antivirensoftware wie Virustotal nicht erkannt, was ihn umso gefährlicher macht.

Allerdings gibt Intezer weitere Tipps, um sich vor dem Angriff zu schützen. Am wichtigsten: Starke Passwörter und wenn möglich eine Zweifaktor-Authentifizierung verwenden. Außerdem sollten von außen erreichbare Dienste möglichst abgeschaltet und deren Nutzung generell minimiert werden. Aktuell gehaltene Software kann dabei helfen, Sicherheitslücken zu vermeiden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. Selbständige: Vodafone mit neuen Tarifen ohne Preissteigerung
    Selbständige
    Vodafone mit neuen Tarifen ohne Preissteigerung

    Vodafone wird seine Preise in neuen Tarifen für Selbständige nach 24 Monaten nicht mehr anheben.

  2. Gorillas-Chef: Entlassungen sind im Interesse der Community
    Gorillas-Chef
    Entlassungen sind "im Interesse der Community"

    Der Chef des Gorillas-Lieferdienstes rechtfertigt die Kündigung eines Arbeiters. Eine Fahrerin mit blauen Flecken am Rücken bewertet das anders.

  3. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

robinx999 09. Mär 2021

Eigentlich recht schwer auf die Hackercommunity einzugehen, diese ist wohl recht breit...

Kilpikonna 03. Jan 2021

Kommt aber immer auf den Inhalt der Datei an. Wenn das potentiell vertrauliche...

Kilpikonna 03. Jan 2021

Und on top noch was, um verdächtige Zugriffe am Besten gleich unterbinden. SElinux und...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /