Οι Windows, Apache Solr και Redis servers ήταν το μεγάλο ενδιαφέρον των κακόβουλων χρηστών για την εβδομάδα που μας πέρασε. Υπολογιστές που δεν έχουν ενημερώσεις ασφάλειας ήταν οι στόχοι τους προκειμένου να εγκαταστήσουν malware για παραγωγή κρυπτονομισμάτων.
Οι 2 μεγάλες καμπάνιες που ξεκίνησαν εντοπίστηκαν από την εταιρεία Imperva που στοχεύουν Windows και Redis servers και την ISC SANS με στόχο τους Apache Solr.
Η πιο ενεργή από τις δύο ήταν αυτή που αποκαλεί η Imperva, RedisWannaMine . Η συγκεκριμένη είναι ακόμα ενεργή και οι κυβερνοεγκληματίες σαρώνουν το διαδίκτυο για συστήματα που χρησιμοποιούν ξεπερασμένες εκδόσεις Redis και είναι ευάλωτες στην CVE-2017-9805 ευπάθεια. Αφού αποκτήσουν πρόσβαση τότε εγκαθιστούν το RedisWannaMine Malware το οποίο με την σειρά του εγκαθιστά ένα miner για κρυπτονομίσματα. Ωστόσο, δεν μένουν μόνο σε αυτό, χρησιμοποιούν την ίδια μέθοδο σάρωσης για Windows servers με ευπάθεια στις θύρες SMB. Εδώ η εγκατάσταση περιλαμβάνει το γνωστό EternalBlue και εγκατάσταση ενός cryptominer. Αυτή δεν είναι η πρώτη φορά που μια καμπάνια coinminer έχει στοχεύσει διακομιστές Redis. Νωρίτερα, τον Φεβρουάριο, μια άλλη εκστρατεία κέρδισε 1 εκατομμύριο δολάρια(σε κρυπτονομίσματα) , μολύνοντας διακομιστές Redis και OrientDB με παρόμοιο cryptomining λογισμικό.
Η δεύτερη πιο ενεργή στόχευε τους Apache Solr servers αξιοποιώντας την CVE-2017-12629 ευπάθεια. Εδώ το τελικό αποτέλεσμα είναι πάλι η εγκατάσταση miner για κρυπτονομίσματα με την διαφορά ότι δεν υπάρχει κάποιος αυτοματοποιημένος μηχανισμός εξάπλωσης του σε άλλες συσκευές δικτύου όπως στο RedisWannaMine. Ο αριθμός των μολυσμένων servers ανέρχεται στους 1,777 (πρώτο δεκαήμερο του Μαρτίου).
Παρόλο που οι Windows kai Redis διακομιστές είναι εύκολο να ενημερωθούν με διάφορα patch και να γίνουν πιο ασφαλείς, αρκετές φορές αποτελούν μέρος ενός πιο σύνθετου συστήματος το οποίο αν τροποποιηθεί μπορεί να προκαλέσει δυσλειτουργίες στην γενικότερη υποδομή τους .
