Los operadores de la botnet Satori escanean Internet en busca de aparejos de minería Ethereum expuestos
Los delincuentes están buscando dispositivos con el puerto 3333 expuesto en línea, un puerto que a menudo se utiliza para funciones de administración remota por un gran número de equipos de criptomoneda.
Los escaneos han tenido lugar durante casi una semana
Los escaneos comenzaron el 11 de mayo, según investigadores de Netlab, los primeros en observarlos, y los que relacionaron su actividad con la botnet Satori.
Más detalles surgieron un día después cuando los analistas de GreyNoise lograron desmitificar los escaneos y analizar el comportamiento en un dispositivo comprometido.
GreyNoise dice que los ladrones estaban buscando activamente equipos con el software de minería Claymore.
"Una vez que el atacante identifica un servidor que ejecuta el software Claymore, envía instrucciones para reconfigurar el dispositivo y unirse al grupo de minería 'dwarfpool' y utiliza el monedero ETH del atacante", dice GreyNoise.
Los enrutadores GPON solían escanear y comprometer las plataformas de minería
GreyNoise también vinculó los escaneos a un grupo de direcciones IP ubicadas en México, en las redes dos ISP que solo unos pocos días antes tenían miles de enrutadores GPON comprometidos y atacados por cinco botnets diferentes.
Según la evidencia actual, Satori, una de las cinco botnets, utilizaba los enrutadores GPON para buscar mineros de Claymore, desplegar un exploit y secuestrar los dispositivos para extraer las criptomonedas de Ethereum y Decred para los operadores de Satori.
Los investigadores de Netlab publicaron una publicación en el blog confirmando el descubrimiento inicial de GreyNoise.
"La fuente de este [puerto 3333] es aproximadamente 17k direcciones IP independientes, principalmente de Uninet SA de CV, telmex.com, ubicado en México", dijo Netlab.
Johannes B. Ullrich de SANS ISC también logró identificar el exploit utilizado por los atacantes, un error de ejecución de código remoto (CVE-2018-1000049) que afectaba al software Nanopool Claymore Dual Miner , para el cual el público el código de prueba de concepto existe en línea.
Esta no es la primera vez que vemos escaneos intensos para las plataformas mineras Ethereum. Una ola similar de escaneos tuvo lugar el pasado noviembre.
Fecha actualización el 2021-01-25. Fecha publicación el 2018-05-18. Categoría: Botnet. Autor: Oscar olg Mapa del sitio Fuente: bgr
El mamut lanudo podria ayudar a eliminar el calentamiento global
El pulpo puede ser la primera especie alienigena intergalactica en la Tierra
Cambios masivos globales en el agua dulce
Valve lanza la app Steam Link para Android
Navegadores Windows 10 de Microsoft admiten cookies SameSite
Download update Windows 10 KB4103720
Xiaomi Redmi 5A vs Mi TV 4 vs Mi TV 4A
Militares de EE.UU tienen un mayor riesgo de cancer de piel
Google eliminara el indicador HTTPS en Chrome 69