RubyMiner

miner

Windows ve Linux sunucularını hedefleyen ve kripto para madenciliği yapan yeni bir zararlı yazılım bulundu.

Güvenlik araştırmacıları gizlice kripto para madenciliği yapan ve güncel olmayan yazılım çalıştıran sunucuları hedefleyen bir zararlı yazılım keşfetti. Bu zararlı yazılımın hedefinin Linux ve Windows sunucular olduğu belirlendi. Check Point araştırmacılarına göre bir bilgisayar korsanı Monero madenciliği yapmak için savunmasız sistemlere RubyMiner kullanarak kripto para madenciliği yapan XMrig’i yerleştiriyor.

Bahsi geçen saldırılar 9-10 Ocak civarında başladı ve 24 saat içerisinde dünya genelindeki tüm ağların yaklaşık %30’una yayıldı. Güvenlik şirketi Certego’ya göre Ruby HTTP exploit saldırılarında büyük bir artış kaydedildi.

Araştırmacılara göre saldırılara hedef olan ülkelerin başında ABD, İngiltere, Almanya, Norveç ve İsveç bulunuyor. Fakat yapılan açıklamaya göre hiçbir ülke bu saldırılardan hasar almadan kurtulamadı.

Bleeping Computer’ın raporuna göre bahsi geçen saldırıda bilgisayar korsanları savunmasız ve güncellenmemiş Linux/Windows sunucularını belirlemek için p0f adlı bir aracı kullanıyor. Araştırmacılara göre bilgisayar korsanları birden fazla güvenlik açığından faydalanıyor ve açık kaynaklı XMrig’i yayabilmek için POST metodunu kullanıyor.

Check Point tarafından yapılan açıklama şöyle:

Sensörlerimiz ve honey-pot’larımız tarafından belirlendiğine göre bilgisayar korsanı zararlı kodu yaymak için birden fazla güvenlik açığını kullanıyor. Bulgularımıza göre PHP, Microsoft IIS ve Ruby on Rails sunucuları sık sık hedef alınıyor.

11 Ocak tarihi itibariyle yaklaşık 700 sunucu saldırıdan etkilendi ve bilgisayar korsanına yaklaşık $540 kazandırdı.

Check Point araştırmacılarının açıklamasına göre bu saldırıda kullanılan domainlerden biri olan lochjol.com, 2013 yılında başka bir saldırıda daha kullanılmıştı. Her ne kadar domain aynı olsa da iki saldırının amacının farklı olduğu görülüyor.