Ботнет-майнинг Monero,

предназначенный для серверов Redis и OrientDB, заразил почти 4400 серверов и с марта 2017 года добыл Monero на сумму более 925 000 долларов.

Ботнет, названный DDG на основе одного из своих модулей, нацелен на серверы Redis с помощью атаки методом перебора словаря учетных данных; и базы данных OrientDB, используя уязвимость CVE-2017-11467 для удаленного выполнения кода.

«[DDG] стремится к серверам баз данных, поскольку серверы баз данных, как правило, оборудованы с большим количеством ЦП и памяти, а это значит, [они] более мощных горных машин,» сказал Ли Fengpei, исследователь безопасности с командой Qihoo 360. NetLab Bleeping Компьютер вчера.

Ботнет заразил почти 4400 баз данных
Netlab удалось в течение двух недель проваливать трафик на серверы бот-сети C & C. Компания заявила, что наблюдала 4 391 сервер, пытающихся перезвонить на серверы управления и контроля ботнета DDG.

Большинство зараженных серверов были расположены в Китае (73%), а США — в отдаленной секунде (11%). Базы данных Redis, по-видимому, составляют основную часть этой бот-сети, составляя 88% всех зараженных хостов, в то время как экземпляры OrientDB составляют только 11%.

Диаграмма заражения DDG

Ботнет, по-видимому, активизировал работу за последние три месяца, так же как цена Monero начала расти. В последние месяцы наблюдается постоянный поток китайских системных администраторов, жалующихся на обнаружение артефактов вредоносного ПО ботнетов на своих серверах баз данных [ 1, 2, 3 ].

Мошенники могли заработать до $ 1,585 млн.
Анализируя образцы вредоносных программ DDG, Netlab говорит, что мошенники добывали Monero, используя три адреса кошелька. Исследователи смогли подтвердить, что мошенники сделали 3 395 монеро, что стоит чуть более 925 000 долларов. Кроме того, в другом кошельке было дополнительно 2428 монет Monero (660 000 долларов США).

«Total Paid» не соответствует итоговой сумме всех тяг », — сказала исследователь Netlab Цзя Ю в опубликованном вчера отчете об этом проблемном кошельке. «Мы не можем подтвердить, какое число является более точным».

Но с или без средств Monero в этом втором кошельке, DDG является вторым по величине ботнетом по криптовалюте, обнаруженным в прошлом году. Самым крупным из них является Smominru (MyKings), ботнет, который заразил более 500 000 компьютеров с Windows, главным образом серверов, и принес своим операторам более 2,4 миллиона долларов.

DDG имеет простой дизайн
По словам Ю, который проанализировал цепочку заражения DDG в вышеупомянутом отчете, успех этой бот-сети обусловлен ее простой конструкцией, которая позволяет оператору быстро изменять параметры бот-сети в течение нескольких минут.

После заражения жертвы операторы DDG добавляют постоянную таблицу crontab, которая каждые пять минут загружает и запускает файл с именем i.sh с двух удаленных IP-адресов.

Этот файл является еще одним набором инструкций, которые загружают основной файл вредоносного ПО — компонент DDG, который содержит список IP-адресов, с которых он будет загружать настоящий майнер, файл с именем wnTKYg.

«Сценарий i.sh дает злоумышленнику очень гибкий контроль над доставкой любого вредоносного программного обеспечения на скомпрометированный хост. И мы действительно время от времени видели, как этот файл изменялся для обслуживания новых файлов троянских программ или для доставки вредоносных программ, включающих новые атаки», — сказал Ю. Обнаружив, что ботнет также скачал и установил некоторые версии вредоносной программы Mirai DDoS на некоторых зараженных хостах.

DDG инфекционный процесс

Владельцам серверов Redis рекомендуется защищать учетные записи базы данных надежными паролями, а владельцам серверов OrientDB следует обновить свои компьютеры как можно скорее.

Ботнет DDG показывает, что мошенникам не нужно создавать передовые вредоносные программы и многоуровневую инфраструктуру, чтобы получать прибыль сегодня. По этой причине и из-за высокой доходности в прошлом году мы видели так много бот-сетей Monero-майнинга.