Dal dicembre del 2019 a oggi, il gruppo di hacker conosciuto con il nome di Blue Mockingbird ha infettato oltre mille sistemi aziendali con un malware per il mining di Monero (XMR): lo ha svelato Red Canary, società di sicurezza informatica, in un report del 26 maggio.

Il resoconto delinea la metodologia di attacco del gruppo. Il malware colpisce server che eseguono applicazioni ASP.NET, sfruttando una vulnerabilità per installare un web shell sulla macchina e ottenere permessi da amministratore, così da poter liberamente modificare le impostazioni.

Successivamente i criminali installano l'applicazione XMRRig, sfruttando la potenza di calcolo della macchina per generare criptovalute. Gran parte dei computer infetti appartiene a grandi compagnie, ma Red Canary non ha rivelato alcun nome specifico.

Brett Callow: le aziende dovrebbero seguire le prassi consigliate

Il rapporto sottolinea che, sebbene sia difficile quantificare il numero totale di infezioni, questi attacchi si sono verificati in una finestra temporale relativamente breve.

La redazione di Cointelegraph ha contattato Brett Callow, Threat Analyst di Emsisoft, e chiesto di rilasciare un commento su questa tipologia di attacco:

"I criminali informatici sono specificatamente alla ricerca di punti deboli nei sistemi connessi a Internet: quando li trovano, li sfruttano a proprio vantaggio. Le compagnie possono notevolmente ridurre i rischi seguendo le prassi consigliate, come applicare tempestivamente le patch, utilizzare la MFA [Multi-Factor Authentication], disabilitare PowerShell quando non necessario, ecc.

Se queste prassi non vengono rispettate e server connessi a Internet rimangono vulnerabili, diventa molto più probabile che queste aziende subiscano attacchi informatici come crypto-mining, ransomware, furto di dati e altri eventi simili."

Molti exchange hanno smesso di supportare Monero

L'utilizzo dell'applicazione XMRRig per il mining non autorizzato di criptovalute è un fenomeno relativamente recente. Nel novembre del 2019, un gruppo di hacker ha scansionato il web alla ricerca di piattaforme Docker vulnerabili sulle quali installare un malware per il mining di Monero.

Queste notizie hanno spinto molti exchange di criptovalute a interrompere il supporto per XMR, poiché questa moneta viene spesso utilizzata per condurre attività illecite.