Maak een account op Bitvavo en krijg €10 cadeau!
Bitvavo: Ontvang €10
Welkomstbonus!
Cryptojackers leggen hun focus inmiddels op een aantal kwetsbare Microsoft Exchange-servers. Inmiddels hebben ze een crypto mining-malware campagne gestart. Door vaak een klein deel de computerkracht van alle gecompromitteerde systemen in te zetten, lukt het cryptojackers vaak om toch nog aanzienlijke hoeveelheden geld te genereren.
Alhoewel cybercriminelen ervoor kunnen kiezen om verschillende methoden te gebruiken om aan cryptocurrencies te komen, komt cryptojacking regelmatig voor. Een aantal cybersecurity-onderzoekers van het software beveiligingsbedrijf Sophos, richten een aantal aanvallers zich nu op kwetsbare servers van de Microsoft Exchange. Door middel van een kwaadaardige exploit kunnen hackers in het geheim een Monero (XMR)-miners op deze servers installeren. Door dit slim aan te pakken en niet alle computerkracht weg te nemen, kunnen veel hackers vaak ongezien wegkomen met deze acties. Pas nadat ze fouten maken door bijvoorbeeld alle computerkracht te gebruiken, worden ze vaak pas laat ontdekt.
Alhoewel dergelijke software de computer dus niet direct beschadigd, of accounts van slachtoffers hackt, blijft het wel gevaarlijk. Het blijft hiermee altijd een punt van zorg voor organisaties. Nu blijkt dat vooral servers getarget worden door cryptojackers, dit omdat deze hardware vaak betere prestaties biedt dan een reguliere desktop PC of een laptop. Door te scannen op servers met de nu gevonden kwetsbaarheid, kunnen hackers relatief eenvoudig het hele netwerk inrollen en deze misbruiken.
De onderzoekers van Sophos hebben Microsoft inmiddels ingelicht. Het Microsoft-team werkt hierdoor aan een oplossing, die zo snel mogelijk op alle betreffende servers uitgerold zal gaan worden. Verwacht wordt dus dat de exploit niet lang meer gebruikt kan worden. Het is echter op dit moment niet bekend of er nog meer kwetsbaarheden in het systeem zitten.
Dat er gebruik wordt gemaakt van Monero is tevens niet onverwacht. Alhoewel de op privacy gerichte altcoin vele malen minder waard is dan een cryptocurrency als Bitcoin (BTC), biedt het diverse anonimiteits-features aan, waardoor de aanvallers moeilijker te traceren zijn.
Uit data van Sophos blijkt dat de Monero-Wallet van de hacker op 9 maart dit jaar een aanzienlijke hoeveelheid XMR-tokens ontvangen heeft. Dit zou suggereren dat de Exchange-kwetsbaarheden die aan het licht gekomen zijn snel gebruikt zijn door de aanvaller.
De onderzoekers hebben laten weten dat het uitvoerbare bestand die de cryptojacker bevat een aangepaste versie lijkt te bevatten van een tool die publiekelijk beschikbaar is op Github. Wanneer de inhoud op een gecompromitteerde server wordt uitgevoerd, wordt het bewijs van installatie verwijderd, terwijl het mijnbouwproces in het geheugen wordt uitgevoerd. Hiermee proberen de aanvallers zo weinig mogelijk sporen achter te laten, om op deze manier zo lang mogelijk ongezien te blijven.