CryptoSink

2019. aastal avastasid pahavara uurijad salajase krüptovaluuta kaevandamise kampaania nimega CryptoSink. Näib, et ründajad kasutavad teadaolevat haavatavust, et seatud süsteemid ohtu seada. CryptoSinki operatsioonis kasutatud ekspluateerimist nimetatakse CVE-2014-3120 ja see on seotud Elasticsearchi rakenduse vanema versiooniga. Vaadeldav programm ühildub Windowsi ja Linuxi süsteemidega. Selle asjaolu tõttu on CryptoSinki kampaania operaatorid muutnud oma ohu mõlema opsüsteemiga ühilduvaks.

Püsivuse saavutamine

Sihitud süsteemi kahjustamiseks süstib CryptoSinki oht kurikuulsa XMRig krüptovaluuta kaevandaja modifitseeritud variandi. Sõltuvalt sellest, kas ohtu rakendatakse Windowsi või Linuxi süsteemis, saavutab see hostis püsivuse erinevalt. Windowsiga arvutis püsivuse saavutamiseks kasutaks CryptoSinki oht mitmeid põhilisi trikke. Kui CryptoSinki oht seab ohtu Linuxi süsteemi, peab ta püsivuse saavutamiseks kasutama palju keerulisemaid tehnikaid. Niipea kui CryptoSinki pahavara õnnestub Linuxi süsteemi nakatada, hangib see mitu rikutud kasulikku koormat, mis aitab ründajatel saada masinale tagauksele juurdepääsu. Samuti teatatakse, et CryptoSinki oht muudab käsku rm, mis tähendab, et iga kord, kui seda käsku kasutatakse, käivitatakse CryptoSinki pahavara. Nii eemaldatakse oht isegi siis, kui kasutaja eemaldab CryptoSinki pahavara tegevusega seotud failid, niipea kui nad kasutavad käsku 'rm'.

Võistlejate eemaldamine

Kaevandaja on mõeldud Monero krüptovaluuta kaevandamiseks. CryptoSinki oht on võimeline tuvastama ka seda, kas nakatunud arvutis on veel mõni krüptovaluuta kaevandaja. Kui tuvastatakse mõni konkureeriv kaevur, üritab CryptoSinki oht nende tegevuse peatada. Kuid pahavara CryptoSink ei eemalda lihtsalt teisi kaevandajaid, kes võisid süsteemi kahjustada; see veendub, et kui süsteem proovib luua ühenduse eelmääratletud kaevanduskogumite loendiga, suunatakse liiklus kohe numbrile 127.1.1.1. See takistab konkureerivatel demineerijatel ühendust oma eelnevalt kindlaksmääratud kaevandusbasseiniga.

CryptoSinki operatsioon on väga kaugele jõudnud ja kaevuri eemaldamine ohustatud hostist võib osutuda üsna keerukaks. Veenduge, et teil oleks installitud tõeline pahavaravastane lahendus, mis aitab teil CryptoSinki ohu kõrvaldada.