11/08/21
Специалисты из компании Splunk сообщили о возобновлении активности операторов ботнета Crypto. Киберпреступники атакуют виртуальные серверы под управлением Windows Server внутри Amazon Web Services с включенным протоколом удаленного рабочего стола (RDP).
После обнаружения уязвимых виртуальных машин злоумышленники осуществляют брутфорс-атаку. В случае успеха хакеры устанавливают инструменты для майнинга криптовалюты Monero.
По словам экспертов, преступники также устанавливают на системы мессенджер Telegram для передачи командных сообщений.
Один из криптовалютных кошельков Monero, используемых в текущей кампании, также был обнаружен в ходе атак в 2018 году, осуществленных операторами ботнета Crypto. Как утверждают специалисты, атаки осуществляются из Китая и Ирана. Китай кажется вероятным местом расположения некоторых вредоносных доменов, связанных с атакой, а Иран рассматривается как источник сайтов и каналов Telegram, которые оставили цифровые следы в коде и на устройствах жертв.
