Tor2Mine

Tor2Mine on krypto-louhintauhka, joka kaappaa vaarantuneiden tietokoneiden resurssit ja käyttää niitä louhikseen Moneroa varten, joka on yksi suosituimmista kryptovaluutoista. Uhka on ollut aktiivinen vähintään kaksi vuotta ja sen aikana sitä on parannettu ja varustettu uusilla toiminnoillajatkuvasti. Uusimmissa tutkijoiden havaitsemissa Tor2Mine-versioissa on paremmat evaasion havaitsemisominaisuudet, ne voivat levitä automaattisesti rikkoutuneen verkon läpi ja niitä on vaikeampi hävittää kokonaan tartunnan saaneista laitteista.

Uudet versiot voivat poistaa käytöstä valitut haittaohjelmasuojausratkaisut PowerShell-komentosarjan avulla, suorittaa kaivostyön päähyötykuorman ja yrittää hankkia Windowsin järjestelmänvalvojan tunnistetiedot.samanaikaisesti. Tor2Minen myöhempi käyttäytyminen perustuu siihen, onko uhka saanut järjestelmänvalvojan oikeudetonnistuneesti kerättyjen valtuustietojen kautta:

1. Jos salauskaivostyöntekijällä on järjestelmänvalvojan tunnistetiedot, se käyttää niitä etuoikeutetun pääsyn luomiseen, jotta se voi asentaa salauslouhintatiedostonsa järjestelmään. Tor2Mine käyttää myös järjestelmänvalvojan oikeuksiaan liikkuakseen sivusuunnassa verkon läpi etsimällä sopivia koneita ja asentamalla tiedostonsa niihin.
2. Jos uhka ei saa järjestelmänvalvojan oikeuksia, se jatkaa edelleen kaivostyökuormien suorittamista. Tässä tapauksessa kaivostyö käynnistetään kuitenkin etänä ja tiedostottomasti komennoilla, jotka suoritetaan ajoitettuina tehtävinä. On huomattava, että Tor2Mine tallennetaan etänä eikä vaarantuneeseen järjestelmään.

Tor2Mine varmistaa myös, että se on ainoa verkon läpi kulkeva uhka suorittamalla useita skriptejä, jotka on suunniteltu erityisesti tappamaan muiden kilpailevien krypto-kaivosohjelmien tai clipper-haittaohjelmien prosessit ja tehtävät. Clipperit ovat haittaohjelmauhkia, joiden tehtävänä on kerätä kryptovaluuttojen osoitteita tai korvata tapahtuman laillinen lompakkoosoite hyökkääjille kuuluvalla, jotta rahat saapuvat heidän hallinnassaan olevalle tilille.

Tutkijat huomauttavat, että jos Tor2Minea ei poisteta verkostakokonaan, se voi jatkaa yksittäisten järjestelmien uudelleentartuntaa, vaikka ne olisi jo puhdistettu.