Уязвимостью SambaCry воспользовались для майнинга криптовалюты Monero на Linux-компьютерах
Открытую в мае уязвимость CVE-2017-7494 в Samba, получившую в дальнейшем название SambaCry, начали массово эксплуатировать злоумышленники. Компьютеры со свободной реализацией протокола SMB, использующие GNU/Linux и другие ОС, начали использовать для зарабатывания денег с помощью майнинга криптовалюты Monero.
Последнюю уязвимость в Samba уже окрестили SambaCry, потому что её широкое распространение (проблеме в безопасности были подвержены все версии сервера Samba, выпускавшиеся с 2010 года) способствует параллели с недавней «вирусной эпидемией» WannaCry, поразившей миллионы компьютеров со всего мира тоже благодаря эксплуатации бреши в протоколе SMB, только для семейства ОС Microsoft Windows. Другое кодовое название этой уязвимости — EternalRed (по аналогии с EternalBlue для WannaCry). Патчи для Samba были оперативно выпущены разработчиками и авторами популярных дистрибутивов GNU/Linux и других ОС, однако далеко не все системы регулярно обновляются, что благоприятно сказывается на масштабах эксплуатации подобных уязвимостей в безопасности.
Проникая на компьютеры с уязвимой версией Samba, зловредное приложение SambaCry устанавливает популярное приложение для майнинга криптовалют — cpuminer (miderd), — которое закачивается через /tmp/m (RiskTool.Linux.BitCoinMiner.a). Запускаемое приложение подключается к пулу xmr.crypto-pool.fr:3333 и начинает зарабатывать для своих авторов криптовалюту Monero (XMR) — одну из самых популярных криптовалют с открытым кодом (Open Source), алгоритм которой считается достаточно эффективным для вычислений на обычных процессорах (CPU).
Одновременно сообщается о появлении Linux-трояна Linux.MulDrop.14, который нацелен на старые одноплатные устройства на базе Raspberry Pi с Rasbian OS, где тоже запускает процесс майнинга Monero.
Дмитрий Шурупов по материалам Securelist, Fossbytes, Dr.Web VMS.
