Negli ultimi quattro mesi sono stati infettati fino a 50.000 server, obiettivi di una campagna di cryptojacking di alto profilo, presumibilmente un’azione orchestrata da hacker cinesi. Dall’analisi del malware, fatto dagli esperti di Guardicore Labs, è emerso che gli hacker hanno scelto di scrivere i loro strumenti con il linguaggio di programmazione basato su un linguaggio EPL (tipicamente cinese) , e molti file di registro e file binari includevano stringhe cinesi da qui la l’attribuzione della presunta provenienza degli attaccanti.
I ricercatori di Cyber Security di Guardicore Labs hanno quindi pubblicato un rapporto dettagliato sulla campagna di crittografia diffusa che in particolare attacca i server Windows MS-SQL e PHPMyAdmin di tutto il mondo.
Il malware Nansh0u (nome scelto per via di una stringa di file di testo) è un vero e proprio APT che installa un sofisticato rootkit in modalità kernel su sistemi compromessi per impedire la chiusura del malware. Secondo il rapporto l’attacco prosegue dalla seconda metà di febbraio e Guardicore Labs evidenzia come abbia sfruttato ben 20 versioni diverse di payload (in breve, sono le azioni che il virus esegue dopo aver infettato il sistema).
I ricercatori affermano che “Durante le [nostre] indagini, abbiamo trovato 20 versioni di payload dannosi, con nuovi payload creati almeno una volta alla settimana e utilizzati immediatamente dopo la loro creazione”.
Le vittime le vittime erano per lo più situate in Cina, Stati Uniti e India, tuttavia gli aggressori hanno raggiunto con l’attacco all’incirca 90 paesi.
“Lo strumento tenta di accedere a ciascun server MS-SQL utilizzando decine di migliaia di credenziali comuni”, hanno affermato i ricercatori. “Una volta che l’autenticazione ha avuto successo, l’indirizzo del server, nome utente e password vengono salvati in un file per uso futuro. Da lì, l’attaccante accede ai sistemi delle vittime, esegue i comandi MS-SQL sulle macchine e scarica i payload e il malware per creare criptominer da un server di file remoto.”
Ecco l’elenco completo degli IoC uno script gratuito basato su PowerShell che gli amministratori di Windows possono utilizzare per verificare se i loro sistemi sono infetti o meno.
Maggiori dettagli: Threatpost