Тысячи серверов PostgreSQL захвачены для майнинга криптовалюты

Исследователи из Wiz обнаружили новую кампанию по краже криптовалюты. Она охватила более 1500 неправильно настроенных серверов PostgreSQL.

Был развернут вариант печально известного майнера XMRig, чтобы попытаться украсть криптовалюту. Хакеры нацеливаются на неправильно настроенные и открытые для публичного доступа серверы PostgreSQL с помощью майнеров криптовалют, делая их практически непригодными для использования, поскольку они увеличивают счета за электроэнергию для жертв, предупреждают исследователи.

Эксперты по исследованию угроз Wiz заявили, что новая атака фактически является вариантом уже наблюдаемой продолжающейся кампании, поскольку злоумышленники (которые они называют JINX-0126) нацеливаются на экземпляры PostgreSQL, сконфигурированные со слабыми и угадываемыми учетными данными для входа. После их обнаружения и входа в систему они развертывают майнер криптовалюты XMRig-C3.

XMRig - чрезвычайно популярный майнер, поскольку он добывает криптовалюту Monero, которая, как правило, намного труднее отследить по сравнению с Bitcoin или другими добываемыми валютами. Майнинг Monero:

• Майнер криптовалюты использует почти всю вычислительную мощность устройства, что делает его бесполезным практически для всего остального.
• Это также означает увеличение потребления электроэнергии, что приводит к увеличению счета в конце месяца.

Киберпреступники, с другой стороны, получают Monero прямо на свои кошельки, которые они могут продать на открытом рынке за доллары США или любую другую криптовалюту. В многих случаях деньги тратятся на другие вредоносные кампании.

Wiz сообщает, что кампания была впервые задокументирована исследователями из Aqua Security, но с тех пор она эволюционировала. Злоумышленники, по сообщениям, внедрили дополнительные механизмы защиты и развертывают файл майнера без использования файлов, чтобы избежать обнаружения.

Исследователи обнаружили, что злоумышленник присвоил каждому потерпевшему уникального майнингового работника, что сделало относительно простым определение количества потенциально скомпрометированных устройств. По их анализу, кампания, вероятно, затронула более 1500 устройств.

«Это говорит о том, что неправильно настроенные экземпляры PostgreSQL очень распространены и предоставляют злоумышленникам возможность для эксплуатации», - заявили они. «Кроме того, наши данные показывают, что почти 90% облачных сред само-хостят экземпляры PostgreSQL, из которых треть имеет хотя бы один экземпляр, который открыто доступен в Интернете».