Hackers maken vaak gebruik van beveiligingsfouten in computers om hun aanvallen uit te voeren. Dit is wat er gebeurt met het nieuwe botnet dat cryptocurrencies probeert te minen op zowel Windows- als Linux-systemen. Het scant op kwetsbaarheden om zijn doel te bereiken. Het is Sysrv-hallo en werd ontdekt door Alibaba Cloud.
Sysrv-hello, een botnet dat zoekt naar kwetsbaarheden in Windows of Linux
Verborgen cryptocurrency-mijnbouw is een probleem om zeer bewust van te zijn, omdat het onze computer tot het uiterste kan pushen en niet alleen de prestaties maar ook hardwarecomponenten kan beïnvloeden. Het is een soort dreiging die de afgelopen jaren flink is toegenomen door de opkomst van digitale valuta.
Aan het eind van de dag zoeken hackers naar manieren om winst te maken. Ze creëren nieuwe aanvalstechnieken, zoeken naar bugs die ze kunnen uitbuiten en infecteren uiteindelijk de computers van de slachtoffers. Met Sysrv-hello slagen ze erin om een botnet te sluipen voor het delven van cryptocurrencies op zowel Windows als Linux. In het bijzonder mineert het Monero, een van de meest populaire cryptocurrencies.
Dit botnet werd voor het eerst ontdekt in februari, maar is actief sinds december 2020. In maart zag het een aanzienlijke toename van inactiviteit. Het is nu bijgewerkt om een enkel binair bestand te kunnen gebruiken dat in staat is om automatisch malware te extraheren en naar andere apparaten te sluipen.
Hoe werkt Sysrv-hello? Wat het in feite doet, is het internet doorzoeken op zoek naar kwetsbare computers. Op deze manier zou het die systemen kunnen infecteren en zijn leger aan botnets kunnen introduceren en Monero kunnen gaan minen.
Volgens beveiligingsonderzoekers vertrouwen ze op kwetsbaarheden die ze vinden bij het uitvoeren van externe code in PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic en Apache Struts.
Opgemerkt moet worden dat zodra deze de server met succes heeft gehackt, deze malware zich over het netwerk kan verspreiden door middel van brute force-aanvallen met behulp van persoonlijke SSH-sleutels die het van geïnfecteerde servers verzamelt.
Er zijn voornamelijk zes misbruikte kwetsbaarheden, die als volgt zijn:
- Mongo Express RCE (CVE-2019-10758)
- XML-RPC (CVE-2017-11610)
- Saltstack RCE (CVE-2020-16846)
- Drupal Ajax RCE (CVE-2018-7600)
- ThinkPHP RCE (geen CVE)
- XXL-JOB Unauth RCE (geen CVE)
Hoe kunnen we onszelf beschermen tegen mijnbouw in cryptovaluta?
We hebben gezien hoe dit nieuwe botnet Windows- of Linux-systemen kan infecteren om zijn aanvallen uit te voeren en cryptocurrencies te minen. We kunnen echter vergelijkbare bedreigingen tegenkomen die onze computers kunnen gebruiken om hun doel te bereiken. Het vermijden van botnetaanvallen is iets waar we rekening mee moeten houden.
Het belangrijkste om te voorkomen dat u het slachtoffer wordt van dit probleem, is ongetwijfeld het hebben van bijgewerkte apparatuur. We hebben gezien dat je in dit geval kwetsbare, verouderde systemen nodig hebt. Daarom is het belangrijkste advies om uw computers altijd up-to-date te houden. Het maakt niet uit welk besturingssysteem we gebruiken.
Het wordt ook belangrijk om beveiligingsprogramma’s te hebben. Een goede antivirus kan vele soorten schadelijke software helpen voorkomen die ons op de een of andere manier in gevaar kunnen brengen. Het is essentieel om dit toe te passen, ongeacht het besturingssysteem dat we gebruiken.
Maar een ander fundamenteel probleem is ook het gezond verstand. We moeten voorkomen dat we fouten maken die kunnen worden uitgebuit door hackers en die onze computers in gevaar kunnen brengen. Het zou bijvoorbeeld een vergissing zijn om programma’s van sites van derden te downloaden zonder te verifiëren of ze legitiem zijn, bijlagen te downloaden die gevaarlijk kunnen zijn of om in te loggen op een onveilig netwerk.