ПО для криптоджекинга удаляет с атакуемых серверов облачные решения безопасности

image

Теги: Rocke, криптовалюта, майнинг, вредоносное ПО

Вредоносное ПО сначала удаляет с зараженного сервера решения безопасности, а уже потом приступает к майнингу.

Зачем прорываться через препятствия, если их можно просто убрать? Новое вредоносное ПО для криптоджекинга сначала удаляет с зараженного компьютера решения безопасности, а уже потом начинает майнить криптовалюту.

Как сообщили исследователи компании Palo Alto Networks, попав на сервер Linux, прежде чем начать майнинг, вредонос полностью удаляет облачные решения безопасности. Его распространением занимается китайскоговорящая киберпреступная группировка Rocke, специализирующая на майнинге криптовалюты Monero с помощью зараженных компьютеров под управлением Linux.

Если раньше используемое группировкой ПО пыталось обойти обнаружение путем отключения некоторых функций в облачных решениях безопасности, то теперь оно деинсталлирует эти решения полностью. По словам исследователей, киберпреступники добавили в программу код для получения административного доступа к инфицированному серверу и удаления пяти разных сервисов безопасности от Tencent Cloud и Alibaba Cloud:

Alibaba Threat Detection Service;

Alibaba Cloud Monitor;

Alibaba Cloud Assistant;

Tencent Host Security;

Tencent Cloud Monitor.

Как отмечают исследователи, данный вредонос является первым, обладающим уникальной способностью удалять с атакуемой системы облачные решения безопасности. Он запрограммирован на удаление вышеупомянутых сервисов строго в соответствии с инструкциями по их удалению, опубликованными на официальных сайтах Tencent Cloud и Alibaba Cloud. То есть, вредоносу не нужно взламывать сервисы, он удаляет их легитимным путем в соответствии с инструкциями.

Криптоджекинг – способ скрытого майнинга криптовалюты на чужих мощностях. Угроза появилась сравнительно недавно и стремительно развивается, приобретая новые формы. Криптоджекинг включает в себя майнинг с использованием чужих браузеров и устройств любых типов – от настольных компьютеров и ноутбуков до смартфонов и сетевых серверов.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.