Kryptovaluuttoja louhiva haittaohjelma tartuttaa Linux-palvelimia

Akamain tietoturvatutkija kertoo löytäneensä uuden haittaohjelman, joka pyrkii laajentamaan kryptovaluuttoja louhivaa bottiverkkoa.

Akamain tietoturvatutkija Larry Cashdollar kertoo blogissaan, että uusi haittaohjelma asentaa koneelle XMRig v2.14.1 -louhintaohjelman. Se etsii Intel x86/I686 -palvelimia, jotka ajavat käyttöjärjestelmänään Linuxia.

Saadakseen pääsyn koneelle SSH täytyy olla toiminnassa portissa 22. Löydettyään portin haitake suorittaa sanakirjahyökkäyksen. Onnistuessaan murtautumisessa se lataa palvelimelle gzip-paketin ja asentaa sieltä louhintaohjelman.

Haitake myös poistaa mahdolliset aiemmat louhintaohjelmat sekä varmistaa louhijan pysymisen palvelimella crontab-komennon avulla. Louhintaohjelmaa ei ole helppo huomata, sillä siihen liittyviä tiedostonimiä on muutettu.

Hyökkääjät pääsevät käsiksi sellaisiin järjestelmiin, joiden päivityksistä ei ole huolehdittu ja joiden salasanat ovat heikot. Nämä asiat kannattaa siis hoitaa kuntoon.

Louhintaohjelmien luvattomat asennukset ovat edelleen uhka tietojärjestelmille, vaikkakin suurin louhintainnostus on ollut laantumaan päin. Haittaohjelma on tähän mennessä saastuttanut tietojärjestelmiä Euroopassa, Aasiassa sekä Etelä- ja Pohjois-Amerikassa.