这种溘然复苏的紧张缘故原由是加密货币市场的普遍复苏,在2018年末的一次大规模崩盘之后,交易价格涌现了复苏。
Monero是大多数加密挖掘恶意软件操作的首选加密货币,是受市场暴跌影响的浩瀚加密货币之一。该货币也被称为XMR,已从2017年末绕轨道约300至400美元的汇率低落至2018年底的40至50美元。
但随着全体2018年Monero交易价格的回升,其代价从年初的38美元增加到今年夏季的近三倍,因此恶意软件活动也是如此。
XMR交易价格的这种规复导致基于Monero的加密挖掘恶意软件操作的活动激增。
这些都是犯罪行为,在此期间,黑客会利用恶意软件传染系统,这些恶意软件专门用于在打算机所有者的背后秘密挖掘Monero。
从5月尾开始,网络安全公司发布的详细描述加密挖掘活动的报告数量激增,每周发布一份新报告,有时每天都会创造新的活动。
加密挖掘恶意软件的历史
在比特币开始盛行时,加密挖掘恶意软件在21世纪初首次成为威胁。最初,恶意软件运营商支配了基于比特币的加密矿工,但随着比特币在普通打算机上越来越难以开采,他们开始转向许多其他的山寨币。
由于其以匿名为中央的特色,Monero逐步成为网络犯罪团伙的最爱。然而,加密挖掘恶意软件直到2017年底和2018年初才成为一件大事,当时加密货币价格飙升至创记录水平,当Monero达到480美元的最高交易代价时。
交易近500美元,Monero在这一点上变得太难以忽略了,一些犯罪集团决定他们想要一块。当时基于Monero的加密矿工的溘然飙升并没有引起人们的把稳。
在一个专注于网络安全主题的新闻网站Bleeping Computer的一项功能中,强调了 2017年底和2018年初基于Monero的恶意软件运营的大幅增长,就像Monero的价格膨胀一样。
当时,在您看到的任何地方,您都会创造恶意软件团伙试图支配Monero挖掘恶意软件。曾经是恶意软件场景非常的东西溘然变成了最常见的恶意软件形式。
Digmine,Hexmen,Loapi,Zealot,WaterMiner,CodeFork,Bondnet,Adylkuzz,CoinMiner,Linux.BTCMine.26,Zminer,DevilRobber,PyCryptoMiner,RubyMiner和MassMiner等恶意软件组/活动只是为数不多的韶光,在几个月的韶光里。
随着Monero价格暴跌,加密采矿作业的频率和强度在2018-2019冬季惨淡。他们从未停滞过,但他们确实连续经营,规模小于我们在2017年和2018年初的良好期间。
但随着今年XMR的交易代价回升,这些业务现在也开始复苏。
加密矿工的酷热夏天
下面,我们将总结今年夏天由网络安全公司发布的一些报告,这些公司详细先容了新的Monero采矿业务。
2019年5月 - Rocke和Pascha团队 - 一份Intezer Labs报告描述了两个加密挖掘操作之间的争斗,这些操作正在与相同类型的基于Linux的云运用程序进行竞争。
2019年5月 - Nansh0u活动 - 一份Guardicore报告详细先容了一个中国的加密挖掘小组,该小组传染了超过50,000台Windows MS-SQL和phpMyAdmin做事器以挖掘Monero。
2019年5月 - RIG漏洞利用工具包 - 趋势科技报告称臭名昭着的RIG漏洞攻击套件已开始支配Monero挖掘机作为其终极负载。密码挖掘机的目标是Windows桌面用户,而非做事器,就像大多数Monero缩放操作一样。
2019年6月 - BlackSquid恶意软件 - 趋势科技报告详细先容了一种名为BlackSquid的新恶意软件。该恶意软件可以同时针对Windows和Linux做事器,并且还利用其他漏洞通过网络横向移动,通过其加密挖掘有效负载传染尽可能多的系统。
2019年6月 - 不决名的广告系列 - 另一个趋势科技报告详述了另一个恶意软件操作,其终极目标是支配Monero加密挖掘机。就像BlackSquid一样,这个恶意软件也依赖于EternalBlue漏洞利用来毁坏初始入口点后通过内部网络传播。
2019年6月 - AESDDoS僵尸网络 - 另一个趋势科技报告详细先容了之前专注于传染做事器进行DDoS攻击的僵尸网络如何转向供应Monero矿工。这个小组特殊追求Docker做事器。
2019年6月 - 不决名的活动 - 一份Sucuri报告描述了另一个加密恶意软件攻击操作,该操作传染了Web做事器并利用cronjob在受传染的主机上持久存在。
2019年6月 - Plurox恶意软件 - 卡巴斯基报告描述了一种名为Plurox的新恶意软件。针对Windows,此恶意软件附带了几个模块,用于以各种形式实行加密货币挖掘。
2019年6月 - LoudMiner恶意软件 - ESET研究职员详细先容了LoudMiner,这是一个针对macOS和Windows的恶意软件系列。根据研究职员的说法,LoudMiner利用虚拟化软件 - 在macOS上利用QEMU,在Windows上利用VirtualBox - 在Tiny Core Linux虚拟机上利用Monero。
2019年6月 - 亚洲开拓银行活动 - 趋势科技研究职员详细先容了Monero挖掘操作,在此期间骗子扫描互联网上的Android设备,暴露他们的ADB调试端口,然后他们用它们在未受保护的主机上安装加密挖掘器。
2019年7月 - WatchBog僵尸网络 - 一份Intezer Labs报告详细先容了WatchBog加密货币挖掘僵尸网络,该僵尸网络自2018年底开始运营,并且已经毁坏了4,500多台Linux机器。
2019年8月 - Smominru僵尸网络 - 碳黑报告[ PDF ] Smominru活动的详细变革,Smominru是最古老和最大的加密货币挖掘僵尸网络之一。除了运行加密挖掘有效载荷之外,僵尸网络还从受传染的主机盗取凭据,后来它在网上***。
2019年8月 - 诺曼恶意软件 - 瓦罗尼斯的安全研究职员揭橥了关于新诺曼密码管理器的报告。仅定位Windows系统。
2019年9月 - Skidmap恶意软件 - 趋势科技报告详细先容了一种名为Skidmap的新Linux恶意软件运用程序,用于在网络做事器上删除Monero矿工。恶意软件最主要的特性是利用rootkit尽可能地在受传染的系统上持久存在。Skidmap也很值得把稳,由于它只针对Debian和RHEL / CentOS系统。
2019年9月 - 熊猫集团 - 最近的一份报告是思科Talos昨天发布的关于一个名为Panda的团体的报告。思科表示该组织根本不繁芜,但仅利用公开可用的攻击来传染任何基于Web的做事器,通过本地网络横向传播,然后放弃加密挖掘机。根据思科的说法,Panda集团的目标是针对Oracle WebLogic(CVE-2017-10271),Apache Struts 2(CVE-2017-5638)和ThinkPHP框架(CNVD-2018-24942)的漏洞利用做事器。除了加密管理器有效载荷之外,该组还被视为在受传染的主机上丢弃Gh0st远程访问木马(RAT),可能扩展访问权限或盗取凭据。
较早的加密挖掘僵尸网络正在多样化
所有上述报告都显示出一个明显的趋势 - 即夏季新的加密采矿作业涌现了飙升。
然而,根据Guardicore安全研究员Daniel Goldberg的说法,加密采矿业务并没有由于Monero价格下跌而停滞。一旦Monero失落去代价,犯罪团体就没有投入太多精力来创建新的恶意软件。
一些恶意软件组连续运行,例如Smominru僵尸网络,Guardicore本日发布了更多的研究,以及检测受传染机器上恶意软件残留的脚本。
“攻击仍旧存在于高强度,由于犯罪分子基本上已经自动化了他们的攻击工具,”戈德伯格本日在接管采访时见告ZDNet。
这种自动化使得Smominru和Panda,Pacha和Rocke等其他老牌公司连续通过Monero的价格暴跌来运营。
但是,正如上面的报告显示,一旦Monero价格开始上涨,新的恶意软件品种也开始涌现。
可以说,当加密采矿业务增加时,密切关注Monero或比特币汇率可能是得到早期预警的好方法。然而,戈德伯格认为这是一个糟糕的指标。
“加密挖掘是犯罪分子通过无保护根本举动步伐获取货币的浩瀚办法之一,”Guardicore研究员说。“如果它不是加密挖掘,它们会***[对受传染的主机到其他组的访问],打单软件或许多其他方法。”
而这正是旧的僵尸网络所发生的事情,例如Smominru和Panda,据Guardicore和思科Talos宣布,最近几个月增加了凭据倾销组件。
这些额外的组件帮助骗子盗取,然后从受传染的主机发卖/货币化其他信息,而他们的紧张加密采矿操作开始赚更少的钱。例如,Smominru通过发卖从受传染主机网络的内部网络或在线站点的凭据获利。
但是,即便如此,也有好。就像曾经发生过USB传播蠕虫或打单软件一样,一旦某些东西成为恶意软件领域的热门话题,网络安全公司就会适应并开始供应更好的保护。
“现在,Cryptominers越来越随意马虎被创造,” 网络安全公司Profero的首席实行官Omri Segev Moyal本日接管采访时见告ZDNet。
“当我们开始研究时,险些没有人检测到密码管理器。现在很难建立一个保持足够永劫光未被创造以获牟利润的得当的密码。”
