Hackers transformam servidores em zumbis para minerar criptomoedas — e lucram milhões
Ataques de criptojacking disparam em 2025: criminosos sequestram poder de processamento alheio para extrair Bitcoin e Ethereum.
Como funciona a mineração fantasma:
Malwares silenciosos infectam servidores corporativos, drenando energia elétrica e capacidade computacional — tudo enquanto os hackers acumulam criptoativos sem deixar rastros.
Setores mais atingidos:
Hospitais, prefeituras e pequenas empresas viraram alvos preferenciais. Enquanto isso, os criminosos diversificam carteiras — 35% agora trocam por privacy coins como Monero.
Ironia do destino:
O mesmo setor que critica o 'gasto energético' do Bitcoin agora subsidia involuntariamente a mineração ilegal — com contas de luz que superam o PIB de microestados.
Hackers Armazia o JDWP exposto para realizar atividades de mineração
Os pesquisadores observaram a atividade contra seus servidores Honeypot, executando o TeamCity, uma ferramenta popular de integração contínua e entrega contínua (CI/CD). O JDWP é um protocolo de comunicação usado em Java para depuração. Com o protocolo, o depurador pode ser usado para trabalhar em diferentes processos, um aplicativo Java no mesmo computador ou um computador remoto.
No entanto, devido ao fato de o JDWP não ter um mecanismo de controle de acesso, expor -o à Internet pode abrir novos vetores de ataque que os hackers podem abusar como ponto de entrada para permitir o controle total sobre o processo Java em execução. Para simplificá -lo, a configuração incorreta pode ser usada para injetar e executar comandos arbitrários, a fim de configurar a persistência e, finalmente, executar cargas úteis maliciosas.
"Embora o JDWP não seja ativado por padrão na maioria dos aplicativos Java, ele é comumente usado em ambientes de desenvolvimento e depuração", disseram os pesquisadores. “Muitos aplicativos popularesmaticautomaticamente iniciam um servidor JDWP quando executados no modo de depuração, muitas vezes sem tornar os riscos óbvios para o desenvolvedor. Se prejudicados ou deixados de maneira inadequada, isso pode abrir a porta para a execução remota de código (RCE) de vulnerabilidades.”.
Alguns dos aplicativos que podem iniciar um servidor JDWP quando no modo de depuração incluem TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins e outros. Os dados do Greynoise mostraram que mais de 2.600 endereços IP foram digitalizados para pontos de extremidade JDWP nas últimas 24 horas, das quais 1.500 endereços IP são maliciosos e 1.100 são classificados como suspeitos. O relatório mencionou que a maioria desses endereços IP se originou de Hong Kong, Alemanha, Estados Unidos, Cingapura e China.
Os pesquisadores detalham como os ataques estão sendo realizados
Nos ataques observados pelos pesquisadores, os hackers aproveitam o fato de que a Java Virtual Machine (JVM) ouve conexões de depurador na porta 5005 para iniciar a digitalização para portas JDWP abertas em toda a Internet. Depois disso, uma solicitação JDWP-Handshake é enviada para confirmar se a interface está ativa. Depois de confirmar que o serviço é exposto e interativo, os hackers se movem para executar um comando para buscar, realizando um script de gotas de gotas que deve realizar uma série de ações.
Essas séries de ações incluem matar todos os mineiros concorrentes ou quaisquer processos de alta CPU no sistema, lançando uma versão modificada do XMRIG Miner para a arquitetura do sistema apropriada de um servidor externo (“AwarmCorner [.] World”) em “~/.Config/Logrotate”), estabelecendo a persistência, estabelecendo trabalhos de cronização, que pagam a remuneração, a remuneração, a remuneração, a remuneração, a realização, a realização, o que paga, a remuneração e a remuneração, a referência e a reposição, a reposição, que se reextou, a realização de que a remuneração é que a remuneração é que a realização de reext a referência e a reposição de que pagam a remuneração e a remuneração é que a renda, que paga a reposição, a reposição, estabelecendo os trabalhos de retenção e a remuneração. intervalo e exclua -se na saída.
"Sendo de código aberto, o XMRIG oferece aos atacantes a conveniência da personalização fácil, que nesse caso envolveu retirar toda a lógica de análise da linha de comando e codificar a configuração", disseram os pesquisadores. "Este ajuste não apenas simplifica a implantação, mas também permite que a carga útil imite o processo de Logrotate original de forma mais convincente".
Essa divulgação ocorre quando o NSFOCUS observou que um malware baseado em GO novo e em evolução chamado HpingBot que tem como alvo os Windows e Linux pode lançar um ataque de negação de serviço distribuído (DDoS) usando o HPING3.
Academia Cryptopolitan: em breve - uma nova maneira de obter renda passiva com DeFi em 2025. Saiba mais
