MrbMiner compromette migliaia di server con SQL Server per estrarre criptovalute

MrbMiner compromette migliaia di server con SQL Server per estrarre criptovalute

Un nuovo gruppo di cybercriminali, battezzato MrbMiner, compromette migliaia di installazioni di SQL Server con l'intento di trasformare le macchine in estrattori di Monero, una criptovaluta concorrente di Bitcoin

di pubblicata il , alle 15:01 nel canale Security
Microsoft
 

Migliaia di server con Microsoft SQL Server sono stati compromessi da un'organizzazione criminale con l'intento di trasformarli in macchine con cui effettuare il mining di Monero, una criptovaluta per certi versi simile al più famoso Bitcoin. A rivelarlo è la divisione di cybersicurezza di Tencent, che ha deciso di chiamare l'organizzazione MrbMiner, ispirandosi a uno dei domini usati per distribuire il malware.

Migliaia di installazioni di SQL Server compromessi per il mining di Monero

Microsoft SQL Server

Secondo quanto scoperto da Tencent, il gruppo MrbMiner ha infettato migliaia di server dove era installato SQL Server col fine di utilizzarli per estrarre la criptovaluta Monero. Non si tratta di una novità in senso assoluto, poiché sono diversi i casi di hacker che hanno compromesso sistemi per installarci miner di criptovalute. Era successo nella prima metà del 2020, ad esempio, con alcuni cluster di Azure e con il gruppo Blue Mockingbird.

Mentre Blue Mockingbird sfruttava, però, una vulnerabilità presente in sistemi non aggiornati, MrbMiner cerca server con SQL Server raggiungibili pubblicamente su Internet e utilizza attacchi di forza bruta per cercare di trovare la password corretta, che spesso si rivela debole, dell'account di amministrazione.

L'infezione avviene una volta che la password viene trovata e a quel punto viene scaricato un file chiamato assm.exe, che viene usato per garantire la persistenza dell'accesso anche dopo un riavvio del sistema e per creare una backdoor. Viene creato un account utente chiamato "Default" con password "@fg125kjnhn987"; a questo punto viene scaricato il software per effettuare l'estrazione di Monero.

Il gruppo sembra aver sviluppato anche una versione specificamente pensata per i server Linux, ma questa sembra meno diffusa (nonostante Linux costituisca la parte più grande del mercato server). Esisterebbe anche una versione per sistemi ARM.

La ragione per cui MrbMiner pare avere questo successo è da ricercare ancora una volta nella cattiva amministrazione dei sistemi, con password facili da indovinare che espongono i server agli attacchi di forza bruta e con una cattiva configurazione della rete che espone direttamente il server SQL Server verso Internet.

Tencent mette a disposizione ulteriori dettagli sul suo sito (in lingua cinese).

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^