WordPress, Joomla, JBoss: Server für Monero-Mining missbraucht

Besitzer einer Website mit WordPress, Joomla, JBoss sollten auf deren Absicherung achten. Die für die Websites verwendeten Server stehen im Fokus diverser Cyber-Gangster. Ziel ist es, die Server zum Mining von Kryptogeld zu missbrauchen.


Anzeige

Das Thema Mining von Crypto-Geld hat in den letzten Monaten stark an Bedeutung zugenommen. Kein Wunder, das Kriminelle die Rechenleistung von Dritten für ihre Zwecke missbrauchen wollen. Neben Clients der Nutzer (u.a. auch deren Browser) und IoT-Geräten geraten nun auch Server ins Visier der Cyber-Gangster. Ist dort WordPress, Joomla, JBoss installiert, versuchen die Kriminellen diese über Schwachstellen zu übernehmen und dann Miner für Monero-Kryptogeld zu installieren.

Krypto-Miner aktiv

Bleeping Computer berichtet in diesem Artikel über die Gefahr, dass Server für Krypto-Mining missbraucht werden. So hat Kaspersky in den ersten acht Monaten 2017 über 1,65 Millionen mit Krypto-Minern befallene Systeme entdeckt. Diese Zahl bezieht sich aber weitgehen auf Client-Systeme.

Das X-Force-Team von IBM sammelt dagegen Daten von Servern. Angriffe, die darauf abzielen, Krypto-Währungs-Mining-Tools in Unternehmensnetzwerken bereitzustellen, haben sich nach Angaben des IBM X-Force-Teams, das zwischen Januar und August 2017 Telemetrie-Daten sammelte, versechsfacht.

Miner in gefälschten Bilddateien

Nach Aussagen von IBM, betrafen die meisten gefundenen Infektionen in den ersten acht Monaten des Jahres die gleichen Miner und benutzten ähnliche Infektionstechniken. Dave McMillen von IBM teilte Bleeping Computer per E-Mail mit, dass die Angreifer über eine breite Palette von Exploits verfügen, um CMS-Plattformen (WordPress, Joomla und JBoss-Server) per CMDi [Command Injection]-Angriffen zu kompromittieren und dann die Kryptogeld-Miner zu installieren.

Diese Mining-Tools wurden , nach McMillen, in gefälschten Bilddateien versteckt, eine Technik, die als Steganographie bekannt ist, und dann auf kompromittierten Webservern mit Joomla oder WordPress gehostet bwz. auf kompromittierten JBoss Application Servern gespeichert.

Der Experte führt aus, dass die Angreifer in der Regel eine angepasste Version eines legitimen Krypto-Miners mit dem Namen Minerd oder eine Linux-Portierung namens kworker heruntergeladen haben. "In den meisten Fällen versuchten die Angreifer, CryptoNote-basierte Währungen wie Monero (XMR), die den CryptoNight-Algorithmus verwenden, abzubauen", sagte McMillen.

Industriefirmen stehen im Fokus

"Wir sind nicht in der Lage, die Anzahl der Angreifergruppen oder infizierten Server aus unseren Angriffsdaten zu bestimmen", teilte McMillen gegenüber Bleeping Computer mit. Er sagte aber, dass Angreifer nicht pingelig seien und alle Server infizieren, die sie erreichen konnten. Die infizierter Server verteilen sich über alle mehrere Branchen, wie z. B. Fertigung, Finanzwesen, Einzelhandel, IT & Kommunikation und andere. Das folgende Diagramm zeigt die jeweiligen Anteile an angegriffenen Branchen.

IBM mining malware distribution per industry vertical
(Quelle: IBM/Bleeping Computer)


Anzeige

Interessant fand ich die Information, dass das Mirai-Botnet, welches IoT-Geräte befällt, inzwischen wohl frei von Mining-Funktionen ist. Möglicherweise ist das kein Geschäftsmodell mehr.

Ähnliche Artikel:
Cybercrime- und Sicherheitsinfos zum Dienstag (19.9.2017)
ESET entdeckt neuen Fall von Krypto-Mining
Krypto-Schlüssel-Desaster bei Geräten
GnuPG-Kryptobibliothek: RSA-Verschlüsselung geknackt
WordPress-Plugins: Backdoors und Sicherheitslücken
WordPress-Sicherheitsinformationen 2. August 2017
WordPress-PlugIn WP Statistics mit Sicherheitslücke
WordPress: Sicherheitslücke in NextGEN Gallery Plugin
Neues zu Hacks per WordPress-Sicherheitslücke
WordPress 4.7.2 und die verschwiegene Sicherheitslücke – deutsche Sites betroffen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Sicherheit, WordPress abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.