攻击者通过隐秘的加密挖掘破坏业务运营

WannaMine,一种Monero采矿蠕虫 去年十月发现越来越多地破坏了公司计算机。

隐身加密挖矿

根据CrowdStrike的研究人员所说,通过降低计算机速度或破坏系统和应用程序,这种加密采矿蠕虫正在严重影响业务运营,并使一些公司几天甚至几周无法运营。

在一个案例中,一位客户告知CrowdStrike,由于系统CPU的过度使用,其几乎100%的环境无法使用。

随着时间的流逝,犯罪分子’对加密货币的渴望和“free”随着采矿资源的增加,企业将必须找到一种方法来保持其系统安全,以防日趋复杂的策略。

无文件攻击

没有提到最初的感染载体,但是’很有可能是网络中的零号患者被骗去运行隐藏漏洞利用程序的文件。

众所周知,通过利用Mimikatz收集合法凭据并使用它们,威胁可以通过公司网络传播。

如果该特定方法失败,它将尝试通过以下方式利用远程系统: EternalBlue漏洞 被...使用 WannaCry在2017年初.

WannaMine使用Windows Management Instrumentation(WMI)永久事件订阅来确保在系统及其存储库中的持久性以存储执行代码。

“它的无文件性质以及对合法系统软件(例如WMI和PowerShell)的使用,使得组织在没有某种形式的下一代防病毒软件的情况下很难阻止它,即使不是不可能,”CrowdStrike研究人员指出。在这种情况下,可以检测和阻止恶意脚本和进程的终端解决方案是一个更好的解决方案。

分享这个