Una nueva variante de la botnet Satori ha surgido y ataca a equipos de minería Claymore sustituye las credenciales de minería del propietario del dispositivo.
Los ataques comenzaron el 8 de enero, Qihoo 360 Netlab investigador de seguridad ha dicho que el análisis de código de malware sugiere la misma persona detrás del robot original de Satori.El botnet Satori apareció a principios de diciembre 2017 y era una versión muy modificada de la infame Mirai IO DDoS malware.
Satori no hizo uso de ataques de fuerza bruta para entrar en los dispositivos que utilizan por defecto y las credenciales débiles -como la Mirai- original, sino que se utiliza un código de explotación para hacerse cargo de los dispositivos que funcionan con credenciales fuertes, pero utilizando el firmware de edad.
La botnet analizados en busca de puertos 52869 (vulnerabilidad CVE-2.014-8361 en dispositivos basados en SDK Realtek) y 37215 (CVE-2.017-17.215 día cero en los routers de Huawei).
Usando sólo estos dos hazañas, Satori acumuló entre 500,000 y 700,00 bots. Al ver el peligro inmediato, grupos de seguridad de Internet reaccionaron y quitándolo Satori servidores C & C originales 's alrededor de mediados de diciembre, dos semanas después de la aparición de Satori.
Netlab spots variante Satori.Coin.Robber
Ahora, casi tres semanas después de la botnet se quedó en silencio, los investigadores han descubierto NETlab una nueva variante Satori.Esta nueva versión mantiene las antiguas hazañas, pero también añade otro. La tercera hazaña fue una sorpresa total para los investigadores debido a que no se dirigen la IO y los dispositivos de red, como cargas anteriores Satori.
Satori escanea en el puerto 333
Satori analiza en busca de puerto 3333 y se despliega el código de explotación específico para software de minería criptomoneda Claymore.Netlab no publicó detalles sobre el código de explotación para evitar más abusos, pero Satori se dirige a una vulnerabilidad que afecta a la interfaz de gestión de software de minería de Claymore que permite a los atacantes para interactuar con el dispositivo sin necesidad de autenticarse.
El atacante rompe y cambia la configuración de la minería Claymore a uno de los suyos como la mineria Etereum.
También deja un mensaje detrás, en caso de que el propietario del dispositivo se de cuenta del robo, alegando que las modificaciones que hizo a la plataforma de la minería no son maliciosos (Spoiler: Son).
Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net
En el momento de la escritura, el dev Satori parece haber hecho 1,01000710 ETH ($ 980) en los últimos diez días sólo mediante el secuestro de los mineros Claymore de otras personas.
Se aconseja a los propietarios para revisar las configuraciones de minería y asegurarse de que está ejecutando una versión actualizada del software Claymore.
Netlab publicó un informe sobre el análisis de esta nueva variante Satori, al que llamaron Satori.Coin.Robber.
Otros incidentes de seguridad de los equipos de perforación minera
En septiembre de 2017, Bitdefender notó una oleada de ataques que utilizan credenciales predeterminadas para hacerse cargo de equipos de minería Etereum ejecutan Ethos.En agosto de 2017, el experto en seguridad Victor Gevers encontró más de 3.000 equipos de minería Bitcoin con puertos de Telnet expuestos en Internet y no tiene ninguna contraseña. La mayoría de los dispositivos se encuentran en China.
En abril de 2017, los investigadores de seguridad descubrieron una puerta trasera oculta en el firmware de los equipos de minería Antminer de Bitmain. La vulnerabilidad fue nombrado Antbleed y Bitmain emitió una actualización de firmware para solucionar el problema.
Fecha actualización el 2021-01-17. Fecha publicación el 2018-01-17. Categoría: Botnet. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer