BondNet: Um botnet especializado na mineração de Monero

Especialistas acreditam que o operador do botnet está na China, e, a julgar pelos comentários encontrados no código, ele está escondido sob o pseudônimo Bond007.01, razão pela qual a botnet está sendo apelidada de BondNet.

Publicado em 6 de maio de 2017 por

Pesquisadores da GuardiCore descobriram uma rede de bots de 15.000 servidores que são usados ativamente para executar o código da criptomoeda Monero, minerando a cripto, angariando até US$ 1.000 por dia em lucros para seu operador.

Analistas dizem que o botnet apareceu em dezembro de 2016 e rapidamente cresceu para 15.000 máquinas rodando o Windows Server. Desse número, aproximadamente 2.000 são ativos diariamente. Especialistas acreditam que o operador do botnet está na China, e, a julgar pelos comentários encontrados no código, ele está escondido sob o pseudônimo Bond007.01, razão pela qual a botnet está sendo apelidada de BondNet.

Diag_3517-2-1024x886-min

A rede de máquinas infectadas pela botnet Bond007.01 é usada, principalmente, para a mineração de Monero, mas descobriu-se que os servidores infectados também mineraram blocos nas seguintes criptos: ByteCoin, RieCoin e ZCash.

O rápido crescimento da rede, dizem especialistas em botnet, explica que o atacante não poupa esforço e tempo para desenvolvê-la. Sabe-se que a Bond007.01 se baseia em diferentes técnicas, combina várias façanhas e ataques de força bruta, hackeando ambos os sistemas com credenciais RDP não confiáveis e máquinas mais seguras. Neste último caso, o atacante explora várias vulnerabilidades no phpMyAdmin, JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL, Apache Tomcat, Oracle Weblogic, etc.

attack_vectors-1-min

Publicidade

Tendo quebrado a proteção do servidor, a Bond007.01 instala um RAT com a funcionalidade de interface de gerenciamento do Windows (WMI) do backdoor e um minerador de criptomoeda para fazer o lucro. Além disso, os servidores infectados utilizam o WinEggDrop (scanner de portas TCP) para procurar novas vítimas.

Os pesquisadores relatam que todas as máquinas afetadas estavam executando o Windows Server, e mais de metade executando o Windows Server 2008 R2.

victims_by_os-min

Em seu relatório, os especialistas da GuardiCore também anexaram uma ferramenta especial, que é projetada para ajudar os administradores a detectar a infecção e remover os bots da Bondnet de seus sistemas.

Em setembro de 2016 foi descoberto o Trojan Mal/Miner-C, que infecta e usa para a distribuição posterior do dispositivo NAS, e, em seguida, minera Monero. E mais recentemente, em março de 2017, foi encontrada na rede o codificador Kirk, que explora a popular franquia “Star Trek” e leva a um resgate em Monero.

Chrys
Chrys é fundadora e escritora ativa do BTCSoul. Desde que ouviu falar sobre Bitcoin e criptomoedas ela não parou mais de descobrir novidades. Atualmente ela se dedica para trazer o melhor conteúdo sobre as tecnologias disruptivas para o website.

Leave a Comment