Кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.
В ході атак зловмисники експлуатують розкриті в минулому місяці уразливості в Microsoft Exchange, відомі як ProxyLogon. Хакерські угрупування, починаючи від APT-груп і закінчуючи фінансово мотивованими кіберзлочинцями, експлуатували їх для зламу поштових серверів. Одне з китайських кіберзлочинних угруповань проклало шлях для подальших атак, встановивши на зламаних серверах web-оболонки China Chopper.
Фахівці компанії Sophos виявили хакерів, які намагаються за рахунок уразливості ProxyLogon встановлювати майнер криптовалют Monero.
Вартість Monero далека від вартості біткоїнів, але цю криптовалюту легше майнити. Більш того, що важливо для кіберзлочинців, Monero забезпечує більшу анонімність – власників гаманців набагато складніше відстежити.
Хоча зараження серверів майнером криптовалют може здатися не таким небезпечним, як атака здирницького ПЗ або викрадення конфіденційних даних, воно як і раніше являє собою загрозу для організацій. Якщо хакерам вдалося встановити майнер, значить: перше – у них є доступ до корпоративної мережі, друге – організація не застосувала критичні оновлення, призначені для захисту від всіх видів атак.
За даними Sophos, гаманець зловмисників став отримувати криптовалюту 9 березня 2021 року, всього через кілька днів після того, як стало відомо про уразливість в Microsoft Exchange.
Атака починається з PowerShell-команди, яка витягає файл через раніше скомпрометований Outlook Web Acces. Виконуваний файл містить модифіковану версію інструменту, доступного всім бажаючим на GitHub. Коли його вміст запускається на сервері, всі свідчення встановлення видаляються, а процес майнінгу проходить в пам’яті.
Малоймовірно, що оператори серверів, на яких були встановлені криптомайнери, помітять наявність проблеми. Вони можуть запідозрити недобре тільки в разі, якщо зловмисники почнуть використовувати занадто багато обчислювальної потужності.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ
Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?
Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.
Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.
Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.
До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.
Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.