Hackers usando credenciais SSH padrão para assumir o equipamento Ethereum Mining
DARKNET BRASIL
Um ator de ameaça é pesquisar em massa a Internet para o equipamento de mineração Ethereum executando o ethOS que ainda está usando as credenciais SSH padrão do sistema operacional.
O atacante está usando esses creds para obter acesso ao equipamento de mineração e substituir o endereço de carteira Ethereum do proprietário por seu próprio. Substituir esta identificação de carteira envia todas as receitas de mineração subseqüentes ao atacante em vez do proprietário real do equipamento.
As varreduras começaram na segunda-feira
Os ataques começaram na segunda-feira e foram detectados pela primeira vez por um honeypot criado pela empresa romena de segurança cibernética Bitdefender.
Os registros de Honeypot mostraram que os atacantes tentavam dois combates de nome de usuário e senha SSH peculiares - ethos: live e root: live.
Pesquisando a Internet, o Bitdefender rastreou essas duas combinações para a EthOS , uma distro de Linux removida de 64 bits especializada em mineração baseada em GPU de criptografia como Ethereum, Zcash, Monero e outras altcoins.
Os especialistas da Bitdefender descobriram que os atacantes estavam tentando substituir o ID da carteira de mineração padrão por seus próprios. Uma lista completa de comandos que o bot dos atacantes estava tentando executar em sistemas seqüestrados está disponível aqui .
Os atacantes fizeram apenas US $ 611
Enquanto a equipe de ETOS afirma que mais de 38.000 plataformas de mineração estão executando seu sistema operacional, nem todos os equipamentos são vulneráveis. Se os proprietários alteraram as credenciais padrão do sistema operacional e colocaram a plataforma atrás de um firewall, eles estão protegidos contra ataques adicionais.
Bogdan Botezatu, um analista sênior de ameaça eletrônica da Bitdefender, diz que a carteira Ethereum dos hackers ( 0xb4ada014279d9049707e9A51F022313290Ca1276 ) identificada na operação de digitalização recente possui apenas 10 transações Ethereum para um total de US $ 601 em Éther.
"Se você está executando uma mineradora de Ether com base em [ethOS], verifique se você mudou as credenciais de login padrão", advertiu Botezatu aos aficionados Ethereum. "Se você não fez isso, agora seria um bom momento para verificar se o mineiro está enviando dinheiro para você, não hackers".
Ataques semelhantes aos amantes da criptografia
A descoberta de Bitdefender não é a única de seu tipo. Em setembro, a ESET descobriu que um ator ameaçador estava constantemente varrendo a Internet para servidores IIS 6.0 não instalados para instalar um mineiro Monero. O atacante obteve mais de US $ 63 mil em Monero .
Hoje, a Kaspersky revelou detalhes sobre um grupo que usou o trojan CryptoShuffler para assistir as pranchetas de PC e substituir IDs de carteira de criptografia com os seus próprios. O grupo obteve mais de US $ 150 mil em Bitcoin e dezenas de milhares em vários altcoins.
No final de agosto, o especialista em segurança Victor Gevers encontrou mais de 3.000 plataformas de mineração Bitcoin com portas Telnet expostas na Internet e sem senhas. A maioria estava localizada na China.
Em abril, pesquisadores de segurança descobriram uma porta traseira escondida no firmware das plataformas de mineração de criptografia Antminer da Bitmain. A vulnerabilidade foi denominada Antbleed e Bitmain emitiu uma atualização de firmware para corrigir o problema.
De acordo com o Índice Nacional de Exposição do Rapid7, um relatório anual sobre dispositivos com portos deixados expostos on-line, há mais de 20 milhões de dispositivos com os portos SSH deixados expostos on-line .
O Wordfence recentemente encontrou um grupo de ameaças digitalizando sites do WordPress para pastas que poderiam conter chaves privadas SSH. As verificações começaram após a publicação de um relatório que encontrou "uma falta generalizada de controles de segurança SSH".
Fonte: BleepingComputer