Команда хакеров, называющая себя Blue Mockingbird и распространяющая вредоносные программы с декабря 2019 года, уже заразила более 1000 корпоративных систем вредоносным ПО для майнинга криптовалюты Monero.
О том, каковы масштабы деятельности Blue Mockingbird, рассказала компания по облачной безопасности Red Canary 26 мая.
В отчёте компании говорится о методах работы этой группы хакеров. Их вредоносная программа атакует серверы с приложением ASP.NET, уязвимость которой используется для установки веб-оболочки на атакованном компьютере, получения дальнейшего доступа к нему на правах администратора и для изменения настроек сервера.
После этого хакеры устанавливают ПО XMRRig, которое позволяет использовать ресурсы зараженных серверных машин для майнинга. Такие серверы в основном принадлежат крупным компаниям, которые Red Canary не называет.
Для проникновения в системы преступники используют уязвимость Remote Desktop Protocol (протокола удалённого рабочего стола в Windows).
Отчёт говорит, что определить количество таких заражений сложно, однако указывает на относительно короткий срок, за который это произошло.
Red Canary также предупреждает, что даже те компании, которые считают себя защищёнными от атак, подвержены высокому риску заражения вредоносным ПО.
Аналитик Emsisoft Бретт Каллоу также сделал следующий комментарий для Cointelegraph:
«Киберпреступники ищут слабые места интернет-систем… Компании могут значительно снизить риски, следуя хорошо зарекомендовавшим себя правилам. Например, своевременно устанавливать патчи, использовать многофакторную аутентификацию (MFA), отключать PowerShell (инструмент внесения скриптов), когда в нём нет необходимости, и т.д.»
Каллоу говорит, что несоблюдение серверами этих простых правил повышает их уязвимость и подверженность незаконному майнингу, вымогательствам, удалению данных и другим опасностям.
