IT-sikkerhetsselskapet F5 Networks har oppdaget et nytt botnett som ser ut til å ha som formål å utvinne kryptovaluta. Botnettet, som har fått navnet PyCryptoMiner, har en del spesielle egenskaper.
Det som virker klart, er at botnettet først og fremst spres til Linux-maskiner som tillater innlogging via SSH-protokollen, trolig ved å forsøke innlogging ved hjelp av mange vanlige brukernavn og store mengder ulike passord.
Python
Selve skadevaren er skrevet i skriptspråket Python. Ifølge F5 gjør dette det vanskelig for antiskadevareløsninger å oppdage skadevare, fordi skriptet kan lett kan obfuskeres og fordi det tross alt kjøres i legitim programvare som er installert som standard i mange Linux-distribusjoner.
Skadevaren kontrolleres på vanlig måte, ved at den tar kontakt med en kontroll- og kommandoserver (C&C). Dersom de kjente C&C-serverne ikke er tilgjengelige, sjekker skadevaren også visse dokumenter på Pastebin.com, hvor IP-adressen til alternative servere er oppgitt.
To av C&C-serverne er knyttet til domenet zsw8.cc. Dette domenet er registrert av en person som kan knyttes til 245 ulike epostadresser og mer enn 36 000 ulike domenenavn. Flere av domenenavnene har siden 2012 blitt brukt i forbindelse med ulike former for svindel, gambling og pornotjenester.
Skadevaren inkluderer en skanner som ser etter en spesifikk JBoss-sårbarhet (CVE-2017-12149) på andre servere.
Leste du denne? Populær Chrome-utvidelse utvant kryptovaluta i bakgrunnen
Uviss størrelse
Men hovedfunksjonaliteten ser altså ut til å være å utvinne kryptovalutaen monero. Ifølge F5 har monero blitt de kyberkriminelles foretrukne valuta fordi den tilbyr en høy grad av anonymitet.
Hvor stort botnettet egentlig er, er uklart. F5 skrev i forrige uke at Pastebin-ressursene ble lest omtrent tusen ganger daglig, og var lest mer enn 177 000 ganger totalt. Men gitt at disse bare leses periodisk, og når C&C-serverne er nede, så forteller ikke dette så mye.
Det skal være minst to monero-adresser knyttet til dette botnettet. Ifølge F5 hadde botnettet for en uke siden utvunnet til sammen 158 monero til disse adressene. Verdien på monero svinger mye, men i skrivende stund er den på knapt 390 dollar. 158 monero tilsvarer dermed i underkant av en halv million kroner.
Enkelt å hindre
Det er ikke vanskelig for Linux-administratorer å hindre at deres maskiner blir infisert av PyCryptoMiner. Det handler først og fremst at datamaskinene settes opp til ikke å tillate store mengder mislykkede innloggingsforsøk over SSH. Dette kan relativt enkelt konfigureres ved hjelp av programvare som Fail2ban.
Les også: Helt nye servere ble forsøkt angrepet allerede etter en drøy time på nett
