Более полумиллиона заражённых компьютеров по всему миру майнили криптовалюту Monero, позволив злоумышленникам добыть около 9000 Monero стоимостью приблизительно $3,6 млн.

Так, вирусный ботнет Smominru, появившийся в мае 2017 года и основанный на эксплойте EternalBlue, заразил более 526 000 серверов Windows и поспособствовал майнингу 8 900 токенов Monero по всему миру. При этом большинство пострадавших компьютеров находятся в России, Индии и на Тайване.

Примечательно, что эксплойт EternalBlue был разработан Агентством национальной безопасности США. Сообщается, что утечка произошла в результате действий известной хакерской группировки Shadows Brokers. Кроме того, EternalBlue также имел отношение к распространению вредоносного ПО WannaCry, когда при обнаружении на сервере эксплойта EternalBlue подключался бэкдор DoublePulsar, авторство которого также приписывают Агентству национальной безопасности США.

При том, что ликвидировать ботнет пытались многие специалисты по кибербезопасности, включая команды Proofpoint, abuse.ch и ShadowServer Foundation, пока этого сделать не удалось. Так, техника «синкхолинг» дала результат лишь на короткие сроки – Smominru быстро восстановился.

Эксперты говорят о том, что серверы Windows стали основными жертвами бота, поскольку являются идеальными хостами, будучи постоянно включёнными и имея вычислительные мощности, значительно превосходящие мощности персонального компьютера.

Отметим, DoublePulsar в прошлом году также использовался для скрытого майнинга Monero. Кроме того, ранее на этой неделе компания TrendMicro объявила, что злоумышленники использовали сервисы Google DoubleClick для распространения в YouTube рекламных объявлений, содержащих вредоносный код для майнинга этой криптовалюты.

Напомним, в октябре 2017 года Европол выразил обеспокоенность криптовалютами Zcash, Monero и Ether в связи с участившимися случаями использования монет для совершения киберпреступлений. А в декабре скрытый майнер Monero атаковал производственную инфраструктуру ПАО «Транснефть».