Согласно отчету Tencent Security, тактика вируса достаточно проста — ботнет сканирует доступные IP-адреса в поисках серверов Microsoft SQL, и, при обнаружении такого, пытается войти под учетной записью администратора с помощью подбора пароля. В случае успеха вирус скачивает файл assm.exe, который внедряет механизм перезагрузки и создает специальную учетную запись для доступа хакеров на сервер. После этого MrbMiner скачивает майнер для добычи анонимной криптовалюты Monero (XMR).
Исследователи заметили интересную особенность — хотя вирус заражает только серверы под управлением Windows с базами данных Microsoft SQL, на сервере управления ботнетом имеются версии для Linux и для систем на процессорах ARM.
После исследования кошельков, на которые перечисляются добытые монеты, аналитики сообщили, что на кошельке для Windows-версии вируса хранится около 7 XMR ($630), а на кошельке для Linux-версии — 3.38 XMR ($300). Впрочем, обычно злоумышленники используют множество кошельков, поэтому общие суммы добытой криптовалюты могут быть значительно больше.
Сейчас системным администраторам необходимо проверить, нет ли на их серверах с MSSQL учетной записью с именем Default и паролем «@fg125kjnhn987.». Именно по этому признаку проще всего выявить заражение сервера вирусом MrbMiner. На текущий момент уже заражены тысячи серверов.
В апреле о ботнете под названием Vollgar, который атаковал серверы Microsoft SQL, сообщала компания Guardicore Labs. По данным специалистов, злоумышленникам удавалось заражать около 2 000-3 000 серверов каждый день.