Журналист издания Bad Packets Report Трой Мурш сообщил в своём отчёте, что более 400 сайтов были заражены скрытым майнером Coinhive из-за выявленной в марте уязвимости, которую специалисты по компьютерной безопасности окрестили «Друпалгеддон 2». Среди пострадавших, например, сайт компании Lenovo и несколько государственных сайтов США.
Drupal — это написанная на языке PHP система управления контентом, используемая также как каркас для веб-приложений. Почти 1 млн. активных пользователей WordPress имеют дело с протоколом Drupal.
Узнав о проблеме, разработчики Drupal выпустили патчи, призванные противодействовать угрозе, однако не все потенциально уязвимые сайты установили эти обновления. Специалисты по безопасности отмечают, что, несмотря на все попытки создать преграду на пути атак, хакеры по-прежнему активно ищут уязвимые сайты. Мурш опубликовал список поражённых ресурсов, чтобы донести до сведения их владельцев мысль о необходимости установить патч.
Среди взломанных сайтов: веб-сайт компании Lenovo, Калифорнийский университет в Лос-Анджелесе, Национальный совет по трудовым отношениям США и ряд других американских правительственных сайтов. Также были затронуты Институт социального обеспечения штата Мехико и муниципалитеты, Управление доходов Турции и сайт проекта Перу по повышению качества высшего образования. На США пришлось больше всего взломанных сайтов (123), затем идут Франция (26), Канада (19), Германия (18) и Россия (17).
Используя уязвимость, хакеры тайно устанавливают на сайты Coinhive — код, майнящий Monero. Присутствие и работа кода неочевидны для посетителей. В конце 2017-го и начале 2108 года тайный майнинг — криптоджекинг — получил широкое распространение: каждый месяц хакеры зарабатывали на нём сотни тысячи долларов в Monero.
Для майнинга злоумышленники пользуются вычислительной мощностью компьютеров жертв. Большинство пострадавших не замечают эти операции, поскольку речь идёт о незначительном росте использования ресурсов. Майнинг на одном компьютере приносит несколько центов в день, но сотни тысяч девайсов могут принести хакерам огромные деньги.
Когда скрытый майнинг оказался в поле зрения СМИ, сайты начали пытаться ему противодействовать. В случае изначального Drupalgeddon наблюдался похожий сценарий. Как только попытки вредоносного проникновения в Drupal стали очевидны, скрипты для майнинга Monero начали исчезать с сайтов один за другим.
При этом встраиванием скриптов для майнинга занимаются не только злоумышленники. Ряд проектов использует пользовательский майнинг как альтернативу рекламе или, как в случае с ЮНИСЕФ, для сбора средств на благотворительность.