Ботнет Prowli заразил более 40 000 серверов, модемов и IoT-устройств

Ботнет Prowli заразил более 40 000 серверов, модемов и IoT-устройств

Киберпреступники создали гигантский ботнет из более чем 40 000 зараженных веб-серверов, модемов и IoT-устройств, которые использовались для майнинга криптовалюты и перенаправления пользователей на вредоносные сайты.

Ботнет, получивший имя Prowli, был обнаружен экспертами из GuardiCore. В ходе этой кампании злоумышленники использовали уязвимости, а также осуществляли атаки брутфорс, что помогало взломать устройства со слабыми учетными данными.

За последние месяцы Prowli удалось заразить следующие устройства:

  • Сайты на WordPress (использовались несколько эксплойтов, а также проводился брутфорс панели администратора);
  • Сайты на Joomla! с расширением K2 (использовалась уязвимость CVE-2018-7482);
  • Несколько моделей DSL-модемов (через известную уязвимость);
  • Серверы, на которых работает HP Data Protector (использовалась CVE-2014-2623);
  • Инсталляции Drupal и PhpMyAdmin, а также серверы с доступными SMB-портами (атаки брутфорс).

Также в арсенале злоумышленников был сканер SSH, отвечающий за подбор имен пользователей и паролей устройств, чей SSH-порт открыть в Сеть.

После заражения устройства киберпреступники пытались понять, подойдет ли оно для тяжелых вычислительных операций связанных с добычей цифровой валюты. Некоторые устройства затем заражались майнером Monero, другие же червем r2r2, который использовал взломанные устройства для брутфорс-атак.

Помимо этого, злоумышленники модифицировали взломанные ими сайты, которые перенаправляли пользователей на всевозможные фишинговые ресурсы.

Специалисты считают, что Prowli специально разработан для максимального получения прибыли. На специальной инфографике отражено процентное соотношение атакованных систем.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

MITRE выпустила фреймворк D3FEND в помощь защитникам от киберугроз

НКО MITRE открыла доступ к фреймворку D3FEND, созданному на основе накопленной базы знаний о мерах противодействия киберугрозам. Новый проект, спонсируемый АНБ США, был запущен в дополнение к ATT&CK — системе классификации угроз, на которую привыкла полагаться ИБ-индустрия.

Активисты надеются, что их рамочная модель киберобороны позволит сисадминам правильнее выстраивать стратегию защиты, исходя из сложившихся практик профилактики, обнаружения атак и быстрого реагирования. Типовые меры противодействия ИБ-угрозам представлены на отдельном сайте MITRE в виде графа знаний.

 

АНБ, со своей стороны, отметило еще один плюс в появлении такого инструмента, как D3FEND. Специалисты, использующие каталог ATT&CK при разборе атак, с которыми они регулярно сталкиваются, теперь смогут быстрее принять меры, чтобы оградить своих подопечных от повторения неприятной ситуации.

 

Устройство D3FEND и принципы работы сотрудники MITRE подробно изложили в техдокументации по проекту (PDF).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru