13:40

Операторы ботнета KingMiner взламывают базы данных MSSQL

Специалисты из компании Sophos сообщили о вредоносной кампании, в рамках которой операторы ботнета KingMiner с помощью брутфорса взламывают учетные записи администратора баз данных MSSQL. Как только преступники взламывают уязвимую MSSQL-систему, они создают другого пользователя с именем «dbhelp» и устанавливают майнер криптовалюты Monero, использующий ресурсы сервера. Операторы KingMiner и раньше осуществляли атаки — в конце 2018 года и в июле 2019 года. Хотя большинство вредоносных ботнетов прекращают существование после нескольких недель или месяцев активности, KingMiner, по-видимому, принес мошенникам достаточно прибыли для продолжения атак. Операторы KingMiner продолжают совершенствовать код вредоносной программы, периодически добавляя новые функции. К примеру, вредонос может эксплуатировать уязвимости (CVE-2017-0213 или CVE-2019-0803) для повышения привилегий на системе и выполнения кода с правами администратора. Операторы KingMiner добавили эту возможность с целью предотвратить сбои в его работе из-за решений безопасности или других ботнетов, которые могут заразить тот же сервер. Кроме того, операторы KingMiner в настоящее время экспериментируют с эксплоитом EternalBlue, позволяющим злоумышленникам получить доступ к удаленным Windows-системам с помощью уязвимости в реализациях протокола Server Message Block (SMB). Хотя исправления были выпущены еще в 2017 году, не все компании применили их. Как отметили специалисты, ботнет также способен загружать другие инструменты и вредоносные программы на зараженные серверы MSSQL. К ним относятся инструмент Mimikatz, троян для удаленного доступа Gh0st и бэкдор-троян Gates. Операторы KingMiner используют их для хищения паролей от других систем, к которым может быть подключен сервер базы данных. По словам экспертов, одна из интересных особенностей кампании заключалась в том, что операторы KingMiner сканируют зараженную систему на предмет уязвимости BlueKeep в протоколе удаленного рабочего стола. Если система оказывается уязвимой, преступники отключали доступ RDP к базе данных, чтобы предотвратить взлом сервера другими вредоносами.

• 09:59 CoinWire: Цена большинства продвигаемых в соцсети X мемкоинов упала на 90%
• 09:45 BTCparser: «Мегакит 2010 года может быть самим Сатоси Накамото»
• 09:25 Власти Техаса обязали майнеров регистрировать оборудование для добычи криптовалют
• 09:03 Большинство продвигаемых в X мем-коинов потеряли 90% стоимости
• 08:40 «Ъ»: Спрос на оборудование для майнинга в России вырос в три раза
• 08:29 «Ведомости»: Банк России рассматривает возможность запуска отдельного приложения для цифрового рубля
• 07:50 Сатоши не исчез, а превратился в «мегакита» — теория от BTCparser
• 07:43 Ралли биткоина застопорилось

И еще 2