Aproveitando mais de 20 vulnerabilidades conhecidas em servidores Linux e Windows, o malware HolesWarm cryptominer foi capaz de invadir mais de 1.000 hosts em nuvem apenas desde junho.
O botnet criptominer básico tem tido tanto sucesso em fazer malabarismos com tantas vulnerabilidades diferentes conhecidas entre os ataques. Os pesquisadores da Tencent, que primeiro identificaram o HolesWarm, referem-se ao malware como o “Rei da exploração da vulnerabilidade”.
Tencent alertou que tanto o governo quanto a empresa devem mitigar as vulnerabilidades conhecidas o mais rápido possível para evitar que sejam vítimas do próximo ataque HolesWarm.
“Como o vírus HolesWarm mudou mais de 20 métodos de ataque em um período relativamente curto de tempo, o número de hosts de nuvem perdidos ainda está aumentando”, disseram analistas da Tencnt em seu relatório de terça-feira.
Além de sua função de criptomineração, HolesWarm dá aos atacantes informações de senha e até mesmo controle do servidor da vítima.
HolesWarm explora Vulns conhecidos
A equipe da Tencent observou o HolesWarm usando vulnerabilidades de alto risco em vários componentes de servidor de escritório comuns, incluindo Apache Tomcat, Jenkins, Shiro, Spring boot, Structs2, UFIDA, Weblogic, XXL-JOB e Zhiyuan.
“Como o vírus HolesWorm mudou mais de 20 métodos de ataque em um período de tempo relativamente curto, o número de hosts em nuvem ainda está aumentando”, disse o relatório. “Os especialistas em segurança da Tencent recomendam que o pessoal de operação e manutenção de organizações governamentais e empresariais conserte ativamente as vulnerabilidades de alto risco em componentes de rede relacionados para evitar que os servidores (se tornem) um broiler controlado por hackers.”
O botnet usa sistemas infectados para explorar Monero. Os criptomoedas auditam sequências infinitas de blockchain em troca da promessa de que podem eventualmente ser recompensados com criptomoeda. Esse tipo de coisa só é lucrativo se houver muitas máquinas contando muitas strings de blockchain. O malware Cryptominer assume o sistema da vítima e o coloca para funcionar como parte de um esforço criminoso mais amplo para explorar o Monero em escala, usando os recursos de outra pessoa.
Os atores da ameaça estão constantemente atualizando suas táticas, de acordo com pesquisadores da Tencent.
“Ao puxar e atualizar outros módulos maliciosos, o vírus HolesWarm gravará as informações de versão na configuração com o mesmo texto de nome ao instalar o módulo malicioso”, disse Tencent. “Quando a configuração da nuvem for mais recente, ela encerrará o processo do módulo correspondente e será atualizado automaticamente.”
Os pesquisadores adicionaram que os dados de configuração do módulo mudaram “rapidamente, indicando o invasor e atualizando frequentemente seus métodos de ataque”.
A aparente facilidade com que o malware criptominer foi detectado, juntamente com sua rápida evolução, indica que um grupo de ameaças está apenas começando sua empresa de hacking criminosa, de acordo com Dirk Schrader da New Net Technologies.
“Coletar dinheiro criptográfico é uma etapa necessária para que qualquer grupo do crime cibernético cresça e, posteriormente, mantenha suas capacidades, adquira exploits adicionais negociados na Dark Web ou use algum crime cibernético como serviço”, disse Schrader ao Threatpost.
Obviamente, sem servidores sem patch persistentes com falhas de segurança conhecidas, o vírus não teria para onde se espalhar. Yaniv Bar-Dayan, EO da Vulcan Cyber disse ao Threatpost que deixar vulnerabilidades não mitigadas expostas a hackers é "imperdoável".
“É a razão pela qual 76% dos executivos de segurança de TI que pesquisamos recentemente disseram que as vulnerabilidades de TI impactaram seus negócios no ano passado”, acrescentou Bar-Dayan. “As organizações com vulnerabilidades conhecidas que podem ser exploradas devem se sentir com sorte se o pior que acontecer com seu patrimônio digital for a implantação do criptominerador HolesWarm.”
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
