MrbMiner, internete açık SQL Server veritabanı sunucularını gaye alarak kendi kripto madencilik yazılımını yüklüyor. Veritabanı sunucuları, ağır kaynak gerektiren faaliyetler için kullanıldıkları ve buna bağlı olarak güçlü bilgi süreç kapasitesine sahip oldukları için kripto madencilerin cazip maksatları ortasında yer alıyor.

SophosLabs, saldırganların korsan madencilik yazılımını hedeflenen sunucuya yüklemek için birden çok yol kullandığını, cryptominer yük ve yapılandırma evraklarını kasıtlı olarak yanlış isimlendirilmiş zip arşiv evraklarında paketlediğini tespit etti. İran merkezli bir yazılım şirketinin ismi, madencilik yazılımının ana yapılandırma belgesinde kodlanmış bir biçimde yer alıyor. Bu alan, madencinin farklı kopyalarını içeren öbür zip evrakını barındırıyor. Bu zip belgeleri ortalarında mrbftp.xyz adresinin de yer aldığı pek çok farklı alan üzerinden indiriliyor.

Şirketin Tehdit Araştırma Yöneticisi Gabor Szappanos, “Organizasyonları dize getiren multi milyon dolarlık fidye yazılımı ataklarının yaşandığı bir çağda kripto madenciliğe yönelik atakları hafife almak kusur olur” diyor. “Kripto madencilik saldırısı uygulaması kolay, tespit edilmesi çok güç olan sessiz ve görünmez bir tehdittir. Ayrıyeten fidye yazılımı üzere öteki büyük tehditler için açık kapı bırakma potansiyeline sahiptir. MrbMiner’ın operasyonları, internete dönük sunucuları gaye alan kripto madencilik taarruzlarının tipik özelliklerini taşıyor. Lakin kimliklerini gizleme konusunda epey özensiz davranmaları dikkat cazip. Madencinin konfigürasyonu, tesir alanları ve IP adresleriyle ilgili kayıtların birçok, İran merkezli küçük bir yazılım şirketini işaret ediyor.” 

Şirket, kripto madenciliğe karşı bilgisayarların ve sunucuların suratında ve performansında azalma, elektrik tüketiminde artma, aygıtların çok ısınması ve işlemci üzerinde artan talep üzere işaretlere dikkat edilmesi gerektiğini söylüyor. 

MrbMiner, Sophos tarafından Cryptominer Troj / Miner-ZD ismiyle tespit ediliyor.

Hürriyet