Até 50.000 servidores ao redor do mundo teriam sido infectados por um malware avançado de cryptojacking, usado para minerar a criptomoeda de código aberto focada em privacidade Turtlecoin (TRTL). A notícia foi revelada em uma análise do grupo internacional de hackers e especialistas em cibersegurança Guardicore Labs em 29 de maio.
Como já noticiado, o cryptojacking é um termo na indústria usado para se referir a ataques de mineração cripto, consistindo na instalação de um malware, que usa o poder de processamento de um computador para minerar criptomoedas sem o consentimento ou conhecimento do dono.
Depois de detectar o ataque em abril e rastrear suas origens e progresso, a Guardicore Labs diz que acredita que o malware tenha infectado mais de 50.000 servidores Windows MS-SQL e PHPMyAdmin ao redor do mundo nos últimos quatro meses. Os analistas encontraram registros dos ataques até o final de fevereiro, observando a partir de então uma expansão abrupta da campanha, com mais de setecentas novas vítimas por dia.
Entre 13 de abril e 13 de maio, o número de servidores infextados teria dobrado até atingir os 47.985.
A Guardicore Labs diz que ofensivas de malware não são um ataque de mineração cripto comum, já que baseia-se em técnicas muitas vezes vistas em em grupos avançados de ameaças persistentes, incluindo certificados falsos e esploração de escalonamento de privilégios.
Os pesquisadores batizaram a campanha de “Nansh0u”, depois de um arquivo de texto ter sido usado frequentemente nos servidores atacados. Acredita-se que a iniciativa tenha sido coordenada por agentes de língua chinesa, já que as ferramentas no malware teriam sido escritas na linguagem de programação em chinês EPL. Além disso, diversos arquivos de log e binários nos servidores incluíam sequências chinesas. Como explica a análise:
“As máquinas invadidas incluem 50.000 servidores de propriedade de empresas dos setores de saúde, telecomunicação, mídia e TI. Uma vez comprometivos, os servidores alvo do ataque eram infectados com conteúdo malicioso. Estes, por sua vez, continham um minerador cripto e instalavam um rootkit sofisticado no modo kernel para evitar que o malware fosse encerrado.”
A maioria das vítimas afetadas estariam na China, Estados Unidos e Índia — apesar da campanha ter se difundido para mais de 90 países. Já a rentabilidade efetiva do cryptojacking é mais difícil de ser medida, segundo o texto, já que os fundos minerados são da moeda de privacidade Turtlecoin.
Em um alerta às organizações, os pesquisadores destacaram que "estas ofensivas demonstram mais uma vez que senhas simples ainda são o fator mais fraco dos fluxos de ataque atuais".
A moeda focada em privacidade Monero (XMR) históricamente tem prevalecido nas campanhas de cryptojacking. Pesquisadores descobriram na metade de 2018 que cerca de 5% da moeda em circulação teria sido minerado através de malware.
Uma potencial troca do XMR para um novo algorítmo de prova de trabalho (PoW) em outubro poderia combater as tentativas de mineração maliciosa, conforme o Cointelegraph recentemente publicou.