Gli hacker spesso traggono vantaggio dalle falle di sicurezza nei computer per eseguire i loro attacchi. Questo è ciò che accade con la nuova botnet che cerca di minare le criptovalute su entrambi i sistemi Windows e Linux. Esamina le vulnerabilità per raggiungere il suo obiettivo. È Sysrv-hello ed è stato scoperto da Alibaba Cloud.
Sysrv-hello, una botnet che cerca le vulnerabilità in Windows o Linux
Il mining nascosto di criptovalute è un problema di cui essere molto consapevoli, in quanto può spingere il nostro computer all’estremo e influenzare non solo le prestazioni ma anche i componenti hardware. È un tipo di minaccia che negli ultimi anni è notevolmente aumentata a causa dell’aumento delle valute digitali.
Alla fine della giornata, gli hacker sono alla ricerca di modi per trarre profitto. Creano nuove tecniche di attacco, cercano bug che possono sfruttare e alla fine infettano i computer delle vittime. Con Sysrv-hello riescono a intrufolarsi in una botnet per il mining di criptovalute sia su Windows che su Linux. Nello specifico, estrae Monero, una delle criptovalute più popolari.
Questa botnet è stata scoperta per la prima volta a febbraio ma è attiva da dicembre 2020. È stato a marzo che ha registrato un aumento significativo dell’inattività. Ora è stato aggiornato per essere in grado di utilizzare un singolo binario in grado di estrarre e infiltrare automaticamente malware su altri dispositivi.
Come funziona Sysrv-hello? Fondamentalmente ciò che fa è eseguire la scansione di Internet alla ricerca di computer vulnerabili. In questo modo potrebbe infettare quei sistemi e introdurre il suo esercito di botnet e iniziare a estrarre Monero.
Secondo i ricercatori sulla sicurezza, si basano sulle vulnerabilità che trovano nell’esecuzione di codice remoto in PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic e Apache Struts.
Va notato che una volta che ha violato con successo il server, questo malware può diffondersi attraverso la rete attraverso attacchi di forza bruta utilizzando chiavi SSH private che raccoglie dai server infetti.
Ci sono state principalmente sei vulnerabilità sfruttate, che sono le seguenti:
- Mongo Express RCE (CVE-2019-10758)
- XML-RPC (CVE-2017-11610)
- Saltstack RCE (CVE-2020-16846)
- Drupal Ajax RCE (CVE-2018-7600)
- ThinkPHP RCE (no CVE)
- XXL-JOB Unauth RCE (no CVE)
Come proteggersi dal mining di criptovalute?
Abbiamo visto come questa nuova botnet possa infettare i sistemi Windows o Linux per eseguire i suoi attacchi e minare le criptovalute. Tuttavia, possiamo imbatterci in minacce simili che possono sfruttare i nostri computer per raggiungere il loro obiettivo. Evitare gli attacchi botnet è qualcosa che dobbiamo tenere a mente.
Indubbiamente la cosa più importante per evitare di cadere vittima di questo problema è avere attrezzature aggiornate. Abbiamo visto che in questo caso sono necessari sistemi vulnerabili e obsoleti. Pertanto, il consiglio principale è di mantenere sempre aggiornati i computer. Non importa quale sistema operativo stiamo utilizzando.
Sarà anche importante disporre di programmi di sicurezza. Un buon antivirus può aiutare a prevenire molte varietà di software dannoso che potrebbero comprometterci in un modo o nell’altro. È essenziale applicarlo indipendentemente dal sistema operativo che stiamo utilizzando.
Ma un’altra questione fondamentale è anche il buon senso. Dobbiamo evitare di commettere errori che possono essere sfruttati dagli hacker e mettere a rischio i nostri computer. Ad esempio, sarebbe un errore scaricare programmi da siti di terze parti senza verificare se sono legittimi, scaricare allegati che potrebbero essere pericolosi o accedere a una rete non sicura.