Компания Guardicore Labs сообщила, что крупномасштабное распространение вредоносных программ, получившее название «кампания Nansh0u», продолжается с февраля. Жертвами атаки, которая в основном нацелена на компании в сфере здравоохранения, телекоммуникаций, СМИ и ИТ-сектора, становятся более 700 новых устройств в день.
Guardicore обнаружила в кампании 20 различных вредоносных программ, и отметила, что их список пополняется «как минимум раз в неделю». Во вредоносном пакете также установлен руткит, предотвращающий удаление программы. Guardicore заявила, что связалась с поставщиком услуг хостинга серверов, с которых совершалась атака, а также эмитентом сертификата руткита. «В результате атакующие серверы были отключены, а сертификат был отозван», – сказано в сообщении.
Фирма заявила, что при атаке использовались сложные инструменты, подобные тем, которые применяются государственными органами, и этот фактор указывает на то, что элитное «цифровое оружие» становится все более доступным для киберпреступников. По заявлению компании, программа была написана с использованием инструментов на китайском языке и размещена на китайских серверах. Guardicore отмечает:
«Кампания Nansh0u не является типичной атакой с целью майнинга. Она использует методы, часто встречающиеся в целевых кибератаках, например, поддельные сертификаты. Хотя передовые инструменты атаки обычно являются собственностью высококвалифицированных организаторов, эта кампания демонстрирует, что такие инструменты теперь могут легко попасть в руки обычных злоумышленников».
По заявлению фирмы, эта ситуация еще раз доказывает, насколько важен высокий уровень защиты идентификационных данных.
«Кампания Nansh0u еще раз демонстрирует, что пароли по-прежнему являются самым слабым звеном в системах защиты. Ввиду того, что десятки тысяч серверов были скомпрометированы простой атакой с использованием метода подбора ключей, мы настоятельно рекомендуем организациям защитить свои активы надежными паролями, а также решениями для сегментации сети», – говорится в отчете.
Атаки с целью скрытого майнинга получают все большее распространение. В прошлом месяце сообщалось, что киберпреступники майнят XMR при помощи уязвимости в старых версиях Confluence Atlassian. Кроме того, ранее появилась информация, что у вредоносной программы для скрытого майнинга криптовалют Shellbot в результате очередного обновления появилась возможность отключать другие майнеры, работающие на зараженном компьютере.
