MrbMiner
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
| Dreigingsniveau: | 80 % (Hoog) |
| Geïnfecteerde computers: | 324 |
| Eerst gezien: | January 19, 2011 |
| Laatst gezien: | May 9, 2025 |
| Beïnvloede besturingssystemen: | Windows |
Een nieuwe aanvalscampagne die cryptomining-malware levert aan Microsoft SQL Servers (MSSQL), is aan het licht gekomen. De onderzoekers ontdekten de activiteiten van een voorheen onbekende hackergroep van de cybersecurity-divisie van het Chinese megabedrijf Tencent. Ze noemden de hackers MrbMiner, de naam van een van de domeinen die worden gebruikt om de malware te hosten. Volgens de bevindingen van de onderzoekers zijn er al duizenden MSSQL-servers gecompromitteerd.
De aanval begint met het scannen van de hackers naar MSSQL-servers en vervolgens met brute kracht hun weg naar binnen door talloze zwakke wachtwoorden te proberen tegen de inloggegevens van de server. Als dit lukt, wordt de infectie geïnitieerd door eerst een bestand met de naam ' assm.exe. 'De malware bereikt persistentie en creëert tegelijkertijd een gateway voor de hackers door een achterdeuraccount in te stellen met' Default 'als gebruikersnaam en' @ fg125kjnhn987 'als wachtwoord.
Het doel van de hele campagne is om cryptomining-malware te leveren die de bronnen van het systeem exploiteert om Monero-munten (XMR) te genereren. Door de cryptocurrency-portemonnee voor de MSSQL-malwarevariant te volgen, kwamen de onderzoekers erachter dat deze ongeveer 7 XMR-munten of ongeveer $ 630 bevatte. De MrbMiner-groep zou echter meerdere verschillende wallets kunnen gebruiken, wat gebruikelijk is bij cryptomining-botnetaanvallen. Bovendien werden op de Command-and-Control (C2) -server nog twee varianten van de malware ontdekt: de ene is ontworpen om op Linux-servers te werken en de andere is gericht op ARM-gebaseerde computersystemen. De Linux-malware wordt actief ingezet omdat het portefeuilleadres ervoor al ongeveer 3.30 Monero-munten had ontvangen.
