Червь атакует сетевые устройства для добычи криптовалюты

Александр Панасенко 26 Марта 2014 - 15:11

...

Корпорация Symantec обнаружила новую разновидность червя Linux.Darlloz, нацеленного на так называемый «Интернет вещей» (Internet of Things) – роутеры и сет-топы (ресиверы цифрового телевидения). Специалисты обнаружили более 31 000 устройств, подключенных к Интернету и зараженных этим червем.

Кроме того, эксперты Symantec выяснили, что задача новой версии червя – добыча виртуальной валюты. Специалисты компании полагают, что вирусописатель продолжит совершенствовать данную вредоносную программу для повышения ее монетизации.

В ноябре прошлого года специалисты корпорации Symantec обнаружили червь под названием Linux.Darlloz, зона поражения которого – «Интернет вещей» (Internet of Things): жертвой вредоносной программы являются компьютеры, построенные на архитектуре Intel x86, а также ARM, MIPS и Power PC, которые обычно встречаются в роутерах и сет-топах (ресиверы цифрового телевидения). В середине января этого года эксперты компании встретились с новой разновидностью этой программы. Судя по результатам анализа, автор червя постоянно совершенствует код и добавляет новые функции, особенно в плане монетизации вируса.

Специалисты Symantec обнаружили более 31 000 устройств, зараженных червем Linux.Darlloz.

Майнинг виртуальной валюты

Эксперты Symantec обнаружили, что задача данной версии червя – добыча (так называемый «майнинг») криптовалюты. Как только компьютер, построенный на архитектуре Intel, заражается новой версией вируса, червь устанавливает на систему cpuminer − программу для майнинга виртуальной валюты. Затем зараженный компьютер начинает осуществлять добычу одной из двух малопопулярных криптовалют− Mincoin или Dogecoin. К концу февраля 2014 года злоумышленнику удалось таким образом добыть 42438 Dogecoin (около $46 на момент написания) и 282 Mincoin (около $150 на момент написания). Это относительно небольшие суммы денег для киберпреступления, поэтому специалисты Symantec полагают, что вирусописатель продолжит совершенствовать свое детище для повышения его монетизации.

Эта новая функция активируется только на компьютерах с архитектурой Intel x86 и обходит стороной более слабые сетевые устройства. Это связано с тем, что майнинг требует значительных вычислительных ресурсов, которыми такие устройства не располагают.

Почему Mincoin и Dogecoin?

Зараженные вирусом устройства начинают осуществлять майнинг электронных валют под названием Mincoin и Dogecoin, вместо того чтобы заниматься самой популярной и самой ценной криптовалютой Bitcoin. Причина состоит в том, что Mincoin и Dogecoin используют алгоритм шифрования, позволяющий успешно осуществлять майнинг и на домашних компьютерах, в то время как для успешной и более быстрой добычи Bitcoin уже требуется ASIC чип.

Новые цели

Исходная версия Darlloz имела 9 комбинаций «логин − пароль» для роутеров и сет-топов. Последняя версия имеет 13 таких комбинаций, которые также работают и для IP-камер, обычно используемых для видеонаблюдения.

Почему атакуется именно «Интернет вещей»?

Суть «Интернета вещей» заключается в объединении между собой множества разнообразных устройств. В то время как большинство пользователей может обеспечить надежную защиту своего стационарного компьютера, многие из них и не подозревают о том, что другие устройства, подключенные к «Интернету вещей», также нуждаются в защите. В отличие от обычных компьютеров, многие такие устройства поставляются с уже установленными на них по умолчанию комбинациями «логин - пароль», а пользователи, в свою очередь, не удосуживаются их поменять. В результате, использование стандартных комбинаций логина и пароля – один из лучших способов взлома таких устройств. Многие из них содержат также уязвимости, о которых неизвестно пользователям.

На данный момент угроза направлена на компьютеры, роутеры, сет-топы и IP-камеры, однако в будущем в этот список могут войти и другие устройства, такие как, например, устройства−элементы «умного» дома и нательные компьютеры.

Защита от других атак

Как эксперты Symantec писали в предыдущей публикации, червь не дает другим вирусам, таким как, например, Linux.Aidra, атаковать устройства, уже зараженные Linux.Darlloz. Автор этой вредоносной программы включил эту функцию в первую версию червя, появившуюся в ноябре 2013 года.

В начале ноября поступали сообщения о существовании некого бэкдора на ряде роутеров. Используя этот бэкдор, злоумышленники могли удаленно получать доступ к роутеру и заражать сеть. Автор Darlloz воспринял это как угрозу, в результате чего, заражая роутер, червь стал создавать в межсетевом фильтре новое правило, блокирующее порт для этого бэкдора, тем самым блокируя доступ другим злоумышленникам.

Распространение Darlloz в Интернете

Заразив устройство, Darlloz запускает веб-сервер на порте 58455, при помощи чего затем осуществляет самораспространение через Интернет. На сервере размещаются файлы вируса, которые загружаются на компьютер любого, кто подаст запрос HTTP GET по этому адресу. Мы искали статичные IP-адреса, где был открыт этот порт и где были размещены файлы Darlloz. Исходя из того, что Darlloz можно скачать, мы попытались собрать интернет-отпечатки серверов, на которых он был размещен. Мы получили следующие данные:

было обнаружено 31 716 IP-адресов, зараженных червем Darlloz;
атаке подверглись компьютеры и устройства в 139 точках земли;
с зараженных IP-адресов было собрано 449 «отпечатков»ОС;
43% жертв Darlloz – это компьютеры на основе процессоров Intel и серверы под управлением Linux;
38% устройств, зараженных Darlloz, – это различные сетевые устройства, включая роутеры, сет-топы, IP-камеры и принтеры.

Пять основных регионов заражения червем Darlloz (в сумме половина от общего числа заражений) – это Китай, США, Южная Корея, Тайвань и Индия. Такое распределение, вероятно, связано с числом интернет-пользователей в этих регионах, а также с распространением там сетевых устройств.

Зараженные сетевые устройства

Многие пользователи и не подозревают, что их сетевые устройства могут стать объектами атаки. Именно поэтому за четыре месяца червю удалось заразить 31 000 компьютеров и сетевых устройств, и эта цифра растет. Мы полагаем, что автор Darlloz будет и дальше совершенствовать свое детище, снабжая его все новыми возможностями, по мере того как будет меняться среда. Специалисты Symantec продолжат следить за этой угрозой.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 25 Апреля 2024 - 19:53

Вирусы-вымогатели Вирусы-шифровальщики Корпорации Positive Technologies

В 2023 году кибервымогателям выплатили рекордный миллиард долларов

По данным исследования Positive Technologies, 2023 год ознаменовался рекордными выкупами операторам программ-вымогателей, а также значительным увеличением масштабов и сложности атак шифровальщиков. Выплаты вымогателям в прошлом году составили более 1 млрд долларов, что является самым высоким показателем за всю историю.

Больше всего от атак вымогателей в 2023 году пострадали медицинские организации (18% всех инцидентов пришлось именно на медицинскую отрасль), что привело к закрытию некоторых учреждений, перенаправлению карет скорой помощи в другие больницы и задержке в предоставлении медицинских услуг.

Так, с серьезным ущербом в результате атаки вымогателей из группировки Rhysida столкнулась американская медицинская компания Prospect Medical Holdings. Российская лабораторная служба «Хеликс», по данным ТАСС, также подверглась кибератаке с помощью шифровальщика.

Злоумышленники пытались нарушить работу лабораторных комплексов и спровоцировать утечку персональных данных. В результате атаки произошла задержка в выдаче результатов исследований клиентам. Потери чувствительных данных удалось избежать.

В четверку самых атакуемых шифровальщиками отраслей по итогам года также вошли организации из сферы науки и образования (14%), государственные учреждения (12%) и промышленные организации (12%). Большинство шифровальщиков распространялось с помощью электронной почты (62%) и путем компрометации компьютеров и серверов (35%).

По данным исследования Positive Technologies, в 2023 году злоумышленники переключились с простого шифрования на угрозу публикации украденных данных. Выплаты вымогателям перевалили за 1 миллиард долларов, что стало самым высоким показателем за всю историю. Так, в результате кибератаки одна из крупнейших компаний в сфере гостиничного и развлекательного бизнеса Caesars Entertainment понесла убытки в размере 15 млн долларов. Компания согласилась выплатить выкуп вымогателям, которые угрожали опубликовать украденные данные клиентов из программы лояльности.

«В 2023 году акцент сместился с шифрования на использование украденных данных для получения денежной выгоды через вымогательство, — отмечает Ирина Зиновкина, руководитель исследовательской группы Positive Technologies. — Этот тренд появился сформировался в связи с тем, что организации начали внедрять более комплексные меры защиты, — с точки зрения злоумышленников, это делает атаки шифровальщиков менее эффективными. Кроме того, отказ от шифрования и переход к вымогательству через угрозу публикации украденных данных может быть обусловлен выпуском специалистами по безопасности различных дешифраторов».

Напомним, на днях Positive Technologies также выложила исследование, согласно которому злоумышленники могут попросить 70 млн долларов за возврат украденных ПДн.

А позавчера мы рассказывали о разработчиках шифровальщика, вымогающих деньги у эксплуататоров детей.