Un paio di exploit utilizzati dalla NSA, che erano stati trapelati online all’inizio di quest’anno dal gruppo di hacker noto come Shadow Brokers, sta ora causando il caos aiutando un gruppo che sta usando gli exploit per installare malware che esegue il software di mining Monero su virus infetti computers. Gli esperti di sicurezza informatica di F5 Networks hanno scoperto un utente malintenzionato che sta eseguendo la scansione di Internet per macchine che eseguono server che utilizzano versioni vulnerabili di Apache Struts e DotNetNuke Software di gestione dei contenuti ASP.NET che non è stato aggiornato per correggere i difetti. All’inizio di quest’anno la vulnerabilità di Apache Struts è stata utilizzata da un altro gruppo di hacker per perpetrare l’attacco su Equifax. La nuova campagna di hacking è stata soprannominata Zealot.
I ricercatori di F5 Networks hanno scoperto che il malware scarica un file “mulo” che contiene un software che estrae Monero. Monero è una criptovaluta altamente incentrata sulla privacy, che è diventata molto popolare tra gli utenti di darknet, hacker e cyber criminali. La criptovaluta Monero è progettata per proteggere gli utenti dall’avere le quantità dei loro portafogli e transazioni da essere viste da terze parti, a differenza di molte altre criptovalute, come Bitcoin. Con criptovalute come Bitcoin, tutti gli indirizzi e le transazioni possono essere visualizzati dal pubblico guardando le informazioni memorizzate sulla blockchain della moneta.
I ricercatori di F5 Networks hanno scoperto che un indirizzo Monero che riceveva monete estratte dal malware dell’attaccante stava ricevendo almeno $ 8.500 Dollari USA di Monero. Non è possibile conoscere l’ammontare totale che gli aggressori hanno fatto dal loro malware di mining Monero finora. Gli aggressori responsabili degli attacchi WannaCry Ransomware verificatisi all’inizio di quest’anno, come i nuovi attaccanti, hanno utilizzato anche l’exploit EternalBlue della NSA. Un gruppo di ransomware è riuscito a raccogliere oltre $ 100.000 dollari USA all’inizio dell’anno sfruttando lo stesso difetto in Apache Struts che il nuovo malware minerario Monero sfrutta.