Wykryto duży cyberatak na serwery poczty e-mail z użyciem cryptominera

wykrytoduzocyberattack.jpg

Wykryto duży cyberatak na serwery poczty e-mail bazujące na systemie Linux, z użyciem złośliwego oprogramowania pozyskującego nielegalnie kryptowaluty (tzw. cryptominera) - poinformował w piątek serwis Infosecurity Magazine.

Cyberatak zagraża serwerom, które działają w oparciu o oprogramowanie Exim. Wcześniej w tym tygodniu poinformowano o wykryciu znaczącej podatności bezpieczeństwa, która dotyczy tego oprogramowania. Serwery wyposażone w Exim to około 57 proc. wszystkich serwerów e-mail na świecie - informuje serwis. Ryzyko natomiast zdaniem IM obejmuje ponad 3,5 mln tych maszyn.

Według firmy z sektora cyberbezpieczeństwa Cybereason, w przypadku ostatnich cyberataków na serwery e-mail z użyciem cryptominerów można mówić o dwóch falach. Podczas pierwszej z nich cyberprzestępcy działali w oparciu o wykorzystywanie podatności centrów kontroli serwerów widocznych w sieci. Druga fala jednak jest znacznie bardziej skomplikowana - oceniają specjaliści. Ich zdaniem złośliwe oprogramowanie po przedostaniu się na serwer aplikuje komendy, które mają być wykonane w określonym czasie i wywołać odpowiednie dla hakerów obciążenie serwera w różnych stadiach ataku poprzez pobranie kolejnych elementów złośliwego oprogramowania. Jednym z nich jest skaner portów serwerowych napisany w języku Python - informują badacze. Jego zadaniem jest poszukiwanie kolejnych podatnych na atak serwerów w internecie, a także nawiązanie połączenia z nimi i zainfekowanie skryptem, który rozpoczyna całą procedurę umożliwiającą hakerom dalsze działania.

Specjaliści z Cybereason zwracają również uwagę, że podczas ataku hakerzy przejmują kontrolę nad serwerem uzyskując uprawnienia administratora, co pozwala im na dowolne zarządzanie nim. Eksperci uważają, że cyberprzestępcy włożyli dużo wysiłku we właściwe dopracowanie swojej kampanii i ukrycie złośliwego oprogramowania w usługach sieci TOR. Zadbali też o zamaskowanie go fałszywymi ikonami plików, aby zmylić czujność administratorów systemów przeszukujących logi serwerowe pod kątem możliwych zagrożeń.

Firma Cybereason zaleca administratorom sieci zaktualizowanie oprogramowania Exim działającego na serwerach o najnowsze łatki bezpieczeństwa oraz przeszukanie logów systemowych i wyłączenie wszystkich harmonogramów zadań rozplanowanych na określone daty. (PAP)

mfr/ malk/