MrbMiner, internete açık SQL Server veritabanı sunucularını amaç alarak kendi kripto madencilik yazılımını yüklüyor. Veritabanı sunucuları, ağır kaynak gerektiren faaliyetler için kullanıldıkları ve buna bağlı olarak güçlü bilgi süreç kapasitesine sahip oldukları için kripto madencilerin cazip amaçları ortasında yer alıyor.
SophosLabs, saldırganların korsan madencilik yazılımını hedeflenen sunucuya yüklemek için birden çok yol kullandığını, cryptominer yük ve yapılandırma evraklarını kasıtlı olarak yanlış isimlendirilmiş zip arşiv belgelerinde paketlediğini tespit etti. İran merkezli bir yazılım şirketinin ismi, madencilik yazılımının ana yapılandırma belgesinde kodlanmış bir halde yer alıyor. Bu alan, madencinin farklı kopyalarını içeren başka zip belgesini barındırıyor. Bu zip belgeleri ortalarında mrbftp.xyz adresinin de yer aldığı pek çok farklı alan üzerinden indiriliyor.
Şirketin Tehdit Araştırma Yöneticisi Gabor Szappanos, “Organizasyonları dize getiren multi milyon dolarlık fidye yazılımı akınlarının yaşandığı bir çağda kripto madenciliğe yönelik akınları hafife almak kusur olur” diyor. “Kripto madencilik saldırısı uygulaması kolay, tespit edilmesi çok güç olan sessiz ve görünmez bir tehdittir. Ayrıyeten fidye yazılımı üzere öbür büyük tehditler için açık kapı bırakma potansiyeline sahiptir. MrbMiner’ın operasyonları, internete dönük sunucuları gaye alan kripto madencilik ataklarının tipik özelliklerini taşıyor. Lakin kimliklerini gizleme konusunda epey özensiz davranmaları dikkat cazip. Madencinin konfigürasyonu, tesir alanları ve IP adresleriyle ilgili kayıtların birden fazla, İran merkezli küçük bir yazılım şirketini işaret ediyor.”
Şirket, kripto madenciliğe karşı bilgisayarların ve sunucuların suratında ve performansında azalma, elektrik tüketiminde artma, aygıtların çok ısınması ve işlemci üzerinde artan talep üzere işaretlere dikkat edilmesi gerektiğini söylüyor.
MrbMiner, Sophos tarafından Cryptominer Troj / Miner-ZD ismiyle tespit ediliyor.
Hürriyet
