Вирус-майнер добывает анонимную криптовалюту Monero, а первые заражения случились в декабре 2019 года. Вирус атакует публичные сервера с приложениями, написанными для платформы ASP.NET и использующими фреймворк Telerik для создания пользовательского интерфейса.
Для заражения используется уязвимость CVE-2019-18935. С ее помощью злоумышленники получают веб-доступ к серверу, а затем при помощи техники Juicy Potato получают административные права и меняют настройки сервера, чтобы при перезагрузке у хакеров оставался доступ к нему. После этого они запускают майнер XMRRig для добычи Monero.
При этом, если зараженный сервер имеет доступ ко внутренней сети предприятия, хакеры пытаются заразить компьютеры на Windows в этой сети с помощью уязвимостей в протоколах RDP и SMB.
Специалисты Red Canary отмечают, что пока не полностью оценили масштабы ботнета, но уже обнаружили более 1 000 новых заражений:
«Эта угроза коснулась совсем небольшого количества наблюдаемых организаций, однако в этих компаниях количество заражений перевалило за 1 000, причем за короткое время».
Red Canary рекомендует проверить свои сервера на уязвимость CVE-2019-18935 и закрыть её. При этом некоторые приложения, использующие Telerik UI, так и не были обновлены разработчиками. В этом случае рекомендуется закрыть доступ к уязвимости на уровне брандмауэра.
Недавно сообщалось, что несколько суперкомпьютеров в Европе были атакованы злоумышленниками для майнинга XMR.