Botnet Satori escanea plataformas mineras de Ethereum

Los operadores de la botnet Satori escanean Internet en busca de aparejos de minería Ethereum expuestos

Los delincuentes están buscando dispositivos con el puerto 3333 expuesto en línea, un puerto que a menudo se utiliza para funciones de administración remota por un gran número de equipos de criptomoneda.

Los escaneos han tenido lugar durante casi una semana

Los escaneos comenzaron el 11 de mayo, según investigadores de Netlab, los primeros en observarlos, y los que relacionaron su actividad con la botnet Satori.

Más detalles surgieron un día después cuando los analistas de GreyNoise lograron desmitificar los escaneos y analizar el comportamiento en un dispositivo comprometido.

GreyNoise dice que los ladrones estaban buscando activamente equipos con el software de minería Claymore.

"Una vez que el atacante identifica un servidor que ejecuta el software Claymore, envía instrucciones para reconfigurar el dispositivo y unirse al grupo de minería 'dwarfpool' y utiliza el monedero ETH del atacante", dice GreyNoise.

Los enrutadores GPON solían escanear y comprometer las plataformas de minería

GreyNoise también vinculó los escaneos a un grupo de direcciones IP ubicadas en México, en las redes dos ISP que solo unos pocos días antes tenían miles de enrutadores GPON comprometidos y atacados por cinco botnets diferentes.

Según la evidencia actual, Satori, una de las cinco botnets, utilizaba los enrutadores GPON para buscar mineros de Claymore, desplegar un exploit y secuestrar los dispositivos para extraer las criptomonedas de Ethereum y Decred para los operadores de Satori.

Los investigadores de Netlab publicaron una publicación en el blog confirmando el descubrimiento inicial de GreyNoise.

"La fuente de este [puerto 3333] es aproximadamente 17k direcciones IP independientes, principalmente de Uninet SA de CV, telmex.com, ubicado en México", dijo Netlab.

Johannes B. Ullrich de SANS ISC también logró identificar el exploit utilizado por los atacantes, un error de ejecución de código remoto (CVE-2018-1000049) que afectaba al software Nanopool Claymore Dual Miner , para el cual el público el código de prueba de concepto existe en línea.

Esta no es la primera vez que vemos escaneos intensos para las plataformas mineras Ethereum. Una ola similar de escaneos tuvo lugar el pasado noviembre.

Semrush sigue a tu competencia


Fecha actualización el 2021-01-25. Fecha publicación el 2018-05-18. Categoria: Botnet. Autor: Oscar olg Mapa del sitio Fuente: bgr