Malware: Wurm macht Windows- und Linux-Server zu Monero-Minern

Sicherheitsforscher von Intezer haben eine Wurminfrastruktur entdeckt, die Linux- und Windows-Server angreift, um diese für das Schürfen von Monero zu verwenden. Die Kryptowährung wird typischerweise mit herkömmlichen CPUs und GPUs statt spezialisierten Asics berechnet. Daher eignen sich angreifbare x86-Systeme dafür gut. Auf der eigenen Webseite beschreibt das Security-Unternehmen, wie der Wurm arbeitet und welche Dienste er ausnutzt.

Intezer bestätigt, dass der Wurm über einen zentralen Command-and-Control-Server verteilt wird. Dieser wird wohl auch noch immer aktuell gehalten, was auf eine aktive Hacking-Gruppe schließen lässt. Der Ansatz verwendet öffentlich einsehbare Schnittstellen von Diensten wie MySQL, Tomcat und Jenkins - und damit zusammenhängende Ports wie 8080, 7001 und 3306. Mithilfe eines Brute-Force-Angriffs errät das System schwache Passwörter. Dabei werde auch ein Dictionary-Ansatz zur Hilfe genommen, der zuerst häufig genutzte Begriffe ausprobiert.

Wurm verbreitet sich selbstständig im Netzwerk

Kann der Wurm erst einmal diese Hürde überwinden, wird ein Dropper-Script per Bash oder Powershell verteilt, welches wiederum einen MXRig-Miner installiert. Der Wurm kann sich selbstständig in Netzwerken weiterverbreiten und so die Ressourcen mehrerer Server einsetzen und zum Kryptomining nutzen. Derzeit werde der Angriff von Antivirensoftware wie Virustotal nicht erkannt, was ihn umso gefährlicher macht.

Allerdings gibt Intezer weitere Tipps, um sich vor dem Angriff zu schützen. Am wichtigsten: Starke Passwörter und wenn möglich eine Zweifaktor-Authentifizierung verwenden. Außerdem sollten von außen erreichbare Dienste möglichst abgeschaltet und deren Nutzung generell minimiert werden. Aktuell gehaltene Software kann dabei helfen, Sicherheitslücken zu vermeiden.