0
0
Pesquisadores de segurança descobriram esta semana uma operação botnet que tem como alvo bancos de dados PostgreSQL para instalar um minerador de criptomoedas.
Codinome por pesquisadores como PgMiner, a botnet é apenas a mais recente de uma longa lista de operações recentes de crimes cibernéticos que visam a web-tech para lucros monetários.
De acordo com pesquisadores da Unidade 42 da Palo Alto Networks, a botnet opera realizando ataques de força bruta contra bancos de dados PostgreSQL acessíveis à internet.
Os ataques seguem um padrão simples.
A botnet escolhe aleatoriamente uma faixa de rede pública (por exemplo, 18.xxx.xxx.xxx) e, em seguida, itera através de todos os endereços IP parte desse intervalo, procurando por sistemas que tenham a porta PostgreSQL (porta 5432) exposta on-line.
Se o PgMiner encontrar um sistema postgreSQL ativo, a botnet passa da fase de digitalização para sua fase de força bruta, onde embaralha uma longa lista de senhas na tentativa de adivinhar as credenciais para “pós-gres”, a conta postgreSQL padrão.
Se os proprietários do banco de dados PostgreSQL esqueceram de desativar esse usuário ou esqueceram de alterar suas senhas, os hackers acessam o banco de dados e usam o recurso PostgreSQL COPY do PROGRAMA para intensificar seu acesso do aplicativo de banco de dados ao servidor subjacente e assumir todo o sistema operacional.
Uma vez que eles têm um controle mais sólido sobre o sistema infectado, a tripulação do PgMiner implanta um aplicativo de mineração de moedas e tenta minerar o máximo de criptomoedas Monero antes de serem detectados.
De acordo com a Unidade 42, no momento de seu relatório, a botnet só tinha a capacidade de implantar mineradores nas plataformas Linux MIPS, ARM e x64.
Outras características notáveis da botnet PgMiner incluem o fato de que seus operadores têm controlado bots infectados através de um servidor de comando e controle (C2) hospedado na rede Tor e que a base de código da botnet parece se assemelhar à botnet SystemdMiner.
O PgMiner marca a segunda vez que uma operação de mineradores de moedas tem como alvo bancos de dados PostgreSQL, com ataques semelhantes vistos em 2018, realizados pela botnet StickyDB.
Outras tecnologias de banco de dados que também foram alvo de botnets de mineração de criptomoedas no passado incluem MySQL, MSSQL, Redis e OrientDB.
FONTE: ZDNET