Эволюция ботнета Rex

Исследователи из компании Stormshield Security представили развернутый отчет о деятельности малвари Rex, за которой они наблюдают последние семь месяцев, с самого момента ее обнаружения.

Напомню, что Rex был впервые замен в мае 2016 года, а в августе специалисты «Доктор Веб» выпустили доклад о вредоносе, в котором сообщили, что тот написан на языке Go, и атакует сайты, работающие под управлением различных популярных CMS, включая Drupal. Тогда выяснилось, что малварь способно майнить криптовалюту, может использоваться для DDoS-атак и представляет собой децентрализованный P2P-ботнет.

Исследователи Stormshield Security пишут, что авторы вредоноса, похоже, не планируют использовать ботнет для организации DDoS-атак. Вместо эого Rex применяется как средство для проникновения на Linux-машины, на которых работают серверы Drupal, WordPress и Magento, также малварь компрометирует такие приложения как Exagrid, Apache Jetspeed, и роутеры AirOS.

После того, как цель была инфицирована, злоумышленники связываются с операторами сайта по почте и начинают угрожать DDoS-атакой на ресурс, если жертва не заплатит выкуп. При этом хакеры выдают себя за известных вымогателей из группировки Armada Collective или хактивистов Anonymous. В результате, фактически никакого «ботнета» нет, хакеры компрометируют единичные цели и вымогают у пострадавших деньги.

При этом нельзя сказать, что авторы Rex совсем не интересуются созданием ботнета для DDoS-атак, так, недавно вредонос обзавелся новыми функциями. Аналитики сообщают, что авторы малвари явно следят за последними новостями. После того как исходных коды трояна Mirai были опубликованы в открытом доступе, Rex позаимствовал у Mirai некоторые трюки, к примеру, научился сканировать сеть в поисках устройств с открытыми Telnet-портами, а затем брутфорсить их.

Но эксперимент с заимствованием кода Mirai, судя по всему, обернулся неудачей. Исследователи Stormshield Security отмечают, что версия с Telnet-сканером была очень багованная, и ей удалось заразить лишь порядка десяти девайсов, после чего разработчики малвари решили переключиться на использование SSH-сканера, тоже подсмотренного у Mirai. Однако провалилась и эта попытка. Согласно данным компании, на данный момент «ботнет» Rex насчитывает всего около 150 зараженных устройств, что довольно забавно, учитывая тот факт, что своим жертвам вымогатель угрожают именно потенциальной DDoS-атакой.

Источник: xakep.ru

Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s