GuardiCore ha descubierto una manipulación en 40.000 máquinas de diversas industrias
El grupo Guardicore Labs ha revelado un esfuerzo criptográfico de tráfico de dinero y minería que afecta a un gran número de asociaciones en empresas, por ejemplo, fondos, instrucción y gobierno. Esta batalla, llamada Operation Prowli, propaga malware y códigos vengativos a servidores y sitios, y ha negociado más de 40,000 máquinas en numerosas zonas del mundo. Prowli utiliza diferentes procedimientos de asalto, incluidos mal uso, contraseñas de red y configuraciones débiles.
Administraciones falsificadas
Esta tarea multipropósito se enfoca en una variedad de etapas: servidores CMS que alojan sitios prominentes, servidores de refuerzo que ejecutan HP Data Protector, módems DSL y dispositivos IoT. Las máquinas de urgencias se adaptan utilizando una variedad de estrategias, supeditadas a patrones de Internet, por ejemplo, normas monetarias informatizadas y redirección de movimiento.
Los trucos de adaptación de actividades son muy normales y dependen de desviar a los invitados de la página web de su objetivo honesto a bondad a sitios que promueven expansiones de programas malévolas, administraciones de trucos de ayuda especializadas, administraciones falsificadas y el cielo es el límite a partir de ahí.
Encontramos toda la tarea Prowli, desde el cliente accidental que visita un sitio contaminado a través del monetizador de actividad hasta el administrador truco. En este informe, nos centramos en las estrategias, técnicas, fundamentos y enfoques de los agresores. Nos empaparemos de los puntos de interés especializados y de la forma en que fluye el efectivo. Se realiza un resumen de los punteros de servicio (IOC) identificados con la tarea hacia el final de la distribución.
La extracción digital
Descubrimos que los atacantes almacenan una gran acumulación de máquinas de accidentes con ubicaciones y espacios de IP que abren diversas administraciones a Internet. Cada una de estas administraciones está indefensa frente a asaltos remotos de preauthentication o permite a los agresores atacar ferozmente dentro de ellos.
El resumen de administraciones particulares incorpora sitios Drupal CMS, destinos de WordPress, módems DSL, servidores con un puerto SSH abierto, gadgets impotentes de IoT, servidores que descubren la programación de HP Data Protector y el cielo es el límite a partir de ahí.
La fuente principal de salario proviene de la extracción digital de dinero. Comúnmente, la minería de dinero digital se ve como una actividad concentrada de activos que incluye una empresa de inicio expansiva tomada después de un movimiento ininterrumpido y costos de vitalidad. Los atacantes detrás de Prowli no generan costos cuando utilizan r2r2 para asumir el control de las PC que poseen otros y utilizan grupos de minería para lavar sus beneficios.
El dinero criptográfico es una carga típica de los gusanos actuales, y para esta situación como en muchas otras, nuestros agresores quieren abusar de Monero, un dinero digital concentrado en la protección y el secreto en un grado más notable que Bitcoin.
Expansiones de programas falsificados
La segunda fuente de ingresos es la extorsión en la hora pico de la adaptación al estancamiento. Los monetizadores de movimiento, por ejemplo, roi777, compran actividades de “los administradores del sitio, por ejemplo, los agresores de Prowli y lo desvían a espacios bajo pedido. Los” administradores “del sitio obtienen efectivo por movimiento enviado a través de roi777.
Este es un negocio desordenado y comúnmente, los tres lados, compradores y distribuidores de movimiento y delegados, que toman parte en ejercicios ilegales. Para nuestra situación, Prowli ofrece movimiento al desviar a los visitantes de los sitios reales comercializados a áreas que facilitan trucos de ayuda especializados, expansiones de programas falsificados, artículos trucados y eso es solo el comienzo.
El monetizador de actividad que trabaja con la tarea Prowli ya fue explorado por un misterioso analista, que podría asociarlo con la extorsión SEO y trucos de ayuda especializada. Después, otro misterioso examinador pirateó el sitio roi777 y apiló la información en Pastebin. El vertedero contiene tablas SQL simples que parecen originarse del “verdadero azul” en alguna parte del sitio, que registra clientes, direcciones de billetera de bitcoin, identificadores de conexión, etc., dando una disposición de información sobre quién está utilizando la administración de desvíos. de movimiento