Według danych z najnowszego raportu Guardicore Labs, hakerzy włamali się na ponad 50 000 serwerów na całym świecie w celu kopania kryptowalut za pomocą niezwykle wyrafinowanych narzędzi.
Zajmująca się problemem cyberbezpieczeństwa firma Guardicore Labs ogłosiła 29 maja, że działania szkodliwego oprogramowania nazywanego „kampanią Nansh0u” trwają od lutego i rozprzestrzeniały się na ponad 700 nowych ofiar dziennie. Atak wymierzony był w głównej mierze w firmy z sektora opieki zdrowotnej, telekomunikacji, mediów i IT.
źródło: tutaj
Guardicore z czasem wykrył 20 różnych szkodliwych przypadków użycia złośliwego oprogramowania. Nowe próby ataków były przeprowadzane co najmniej raz w tygodniu. Pakiet zainstalował także rootkita, który uniemożliwił usunięcie złośliwego oprogramowania.
Jak przebiega atak Nansh0u
W podstawowej wersji atak polegał na wykonaniu polecenia MS-SQL, które zapewniało hakerom zalogowanie się na serwer z pełnymi przywilejami administratorskimi. Infrastruktura ataku wyglądała następująco. Najpierw hakerzy skanowali adresy IP i sprawdzali, czy któryś z typowych portów MS-SQL był otwarty. Następnie do akcji wkraczało narzędzie brute-force, za pomocą którego hakerzy byli w stanie zapisać w pliku adres serwera, nazwę użytkownika i hasło. W tym miejscu następował właściwy atak. Haker logował się i infekował maszyny.
źródło: tutaj
Firma poinformowała, że skontaktowała się z dostawcą hostingu atakujących serwerów. W rezultacie atakujące serwery zostały usunięte.
Co ważne, Guardicore Labs twierdzi, że atak wykorzystywał wyrafinowane narzędzia, takie jak te stosowane przez ośrodki państwowe. Oznacza to pokrótce, że elitarna broń cyfrowa staje się coraz łatwiej dostępna dla cyberprzestępców.
Guardicore pisze:
„Kampania Nansh0u nie jest typowym atakiem krypto-górników. Wykorzystuje techniki często spotykane w APT [advanced persistent threats], takie jak fałszywe certyfikaty i exploity uprawnień. Podczas gdy zaawansowane narzędzia ataku są zwykle własnością wysoko wykwalifikowanych jednostek, ta kampania hakerska pokazuje, że te narzędzia mogą teraz łatwo wpaść w ręce hakerów – nowicjuszy.”
Hakerzy uczą się bardzo szybko
Kampania Nansh0u pokazuje, że silne i unikalne dane dostępowe mają kluczowe znaczenie dla ochrony aktywów firm.
„Ta kampania po raz kolejny pokazuje, że wspólne hasła nadal stanowią najsłabsze ogniwo w researchu współczesnych ataków hakerskich. Widząc dziesiątki tysięcy serwerów zagrożonych prostym atakiem brute-force, zdecydowanie zaleca się, aby organizacje chroniły swoje zasoby za pomocą silnych danych uwierzytelniających, jak również rozwiązań segmentacji sieci ”- czytamy w raporcie Guardicore Labs.
Jeżeli chcielibyście zapoznać się z pełna wersją raportu Guardicore Labs, znajdziecie go tutaj.