Altcoin News: Hacker haben weltweit 50.000 Server mit versteckter Mining-Malware infiziert

4. Juni 2019 von Marko Vidrih im ALTCOIN MAGAZIN

Laut Guardicore Labs, einem auf Cybersicherheit spezialisierten Unternehmen, haben Hacker weltweit mehr als 50.000 Server gehackt und sie mit Malware für versteckte Mining-Kryptowährungen infiziert.

Guardicore Labs berichtete, dass seit dem Februar eine groß angelegte Malware-Distribution namens “ Nansh0u-Kampagne ” stattfindet. Mehr als 700 Täglich werden neue Geräte für Angriffe eingesetzt, die sich hauptsächlich gegen Unternehmen aus den Bereichen Gesundheitswesen, Telekommunikation, Medien und IT richten.

Guardicore entdeckte 20 verschiedene Schadprogramme in der Kampagne und stellte fest, dass deren Liste „mindestens einmal pro Woche“ aktualisiert wird. Auf dem Schadpaket ist auch ein Rootkit installiert, um das Entfernen des Programms zu verhindern. Guardicore gab an, den Server-Hosting-Dienstanbieter, von dem aus der Angriff ausgeführt wurde, sowie den Aussteller des Rootkit-Zertifikats kontaktiert zu haben.

“Infolgedessen wurden die Angriffsserver heruntergefahren und das Zertifikat wurde widerrufen”, wurde gemeldet.

Das Unternehmen gab an, dass für den Angriff hochentwickelte Tools verwendet wurden, wie sie beispielsweise von Regierungsbehörden verwendet werden. Dieser Faktor deutet darauf hin, dass die Elite der „ digitalen Waffen “ zunehmend für Cyberkriminelle . Nach Angaben des Unternehmens wurde das Programm mit Tools in Chinesisch geschrieben und wird auf chinesischen Servern gehostet. Guardicore Notizen:

„Die Nansh0u-Kampagne ist kein typischer Crypto-Miner-Angriff. Es verwendet Techniken, die häufig in APTs (Advanced Persistent Threats) verwendet werden, z. B. gefälschte Zertifikate und Exploits zur Eskalation von Berechtigungen. Während fortschrittliche Angriffstools normalerweise Eigentum hochqualifizierter Gegner waren, zeigt diese Kampagne, dass diese Tools jetzt leicht in die Hände von weniger als erstklassigen Angreifern fallen können. “

Nach Angaben des Unternehmens zeigt diese Situation erneut, wie wichtig ein hohes Maß an Schutz der Identifikationsdaten ist.

„Diese Kampagne zeigt einmal mehr, dass gängige Passwörter immer noch das schwächste Glied in den heutigen Angriffsabläufen darstellen. Angesichts der Tatsache, dass Zehntausende von Servern durch einen einfachen Brute-Force-Angriff kompromittiert wurden, empfehlen wir Unternehmen dringend, ihre Assets mit starken Anmeldeinformationen sowie Netzwerksegmentierungslösungen zu schützen “, heißt es in dem Bericht.

Angriffe zum Zweck des versteckten Bergbaus werden immer häufiger. Im vergangenen Monat wurde berichtet, dass Cyberkriminelle XMR mithilfe von Sicherheitslücken in älteren Versionen von Confluence Atlassian abgebaut haben. Darüber hinaus gab es zuvor Informationen, dass das versteckte Mining-Programm für Shellbot Kryptowährung als Ergebnis des nächsten Updates die Möglichkeit hatte, andere auf dem infizierten Computer ausgeführte Miner zu deaktivieren.

Autor: Marko Vidrih