Dua minggu yang lalu kami melaporkan tentang kerentanan kritis remote code execution Samba (implementasi ulang protokol jaringan SMB) yang memungkinkan peretas remote menguasai sepenuhnya mesin Linux dan Unix yang rentan.
Untuk mengetahui lebih banyak tentang kerentanan SambaCry (CVE-2017-7494) dan cara kerjanya, kamu dapat membaca artikel kita yang sebelumnya.
Pada saat itu, hampir 485.000 komputer yang menjalankan Samba ditemukan terekspos di internet, dan periset memperkirakan bahwa serangan berbasis SambaCry juga berpotensi menyebar seperti ransomware WannaCry secara luas.
Prediksi tersebut menjadi sangat akurat, karena honeypots yang disiapkan oleh tim peneliti dari Kaspersky Lab telah menangkap peluncuran malware yang memanfaatkan kerentanan SambaCry untuk menginfeksi komputer Linux dengan perangkat lunak cryptocurrency mining.
Peneliti keamanan lainnya, Omri Ben Bassat, secara independen menemukan peluncuran yang sama dan menamakannya “EternalMiner.”
Menurut para periset, sekelompok hacker yang tidak diketahui telah mulai membajak PC Linux hanya seminggu setelah kerentanan remote code execution Samba diungkapkan secara terbuka dan menginstal versi upgrade dari “CPUminer,” perangkat lunak cryptocurrency mining yang menghasilkan mata uang digital “Monero”.
Setelah mengorbankan mesin yang rentan menggunakan kerentanan SambaCry, penyerang mengeksekusi dua payload pada sistem yang ditargetkan:
- INAebsGB.so – Sebuah reverse-shell yang menyediakan akses remote ke penyerang.
- cblRWuoCc.so – Sebuah backdoor yang mencakup utilitas cryptocurrency mining – CPUminer.
“Melalui reverse-shell yang tertinggal di sistem, penyerang dapat mengubah konfigurasi penambang yang sudah menjalankan atau menginfeksi komputer korban dengan jenis malware lainnya,” kata periset Kaspersky.
Kriptokokus mining dapat menjadi investasi yang mahal karena memerlukan sejumlah besar daya komputasi, namun perangkat lunak cryptocurrency mining semacam itu mempermudah penjahat dunia cyber dengan memungkinkan mereka memanfaatkan sumber daya komputasi dari sistem yang dikompromikan untuk menghasilkan keuntungan.
Penyerang di balik serangan CPUminer berbasis SambaCry telah menghasilkan 98 XMR, yang bernilai 5,380 hari ini dan angka ini terus meningkat seiring dengan meningkatnya jumlah sistem Linux yang dikompromikan.
“Pada hari pertama mereka memperoleh sekitar 1 XMR (sekitar $55 sesuai nilai tukar mata uang untuk 08.06.2017), namun selama minggu lalu mereka memperoleh sekitar 5 XMR per hari,” kata para periset.
Samba telah menambal masalah ini di versi Samba baru mereka 4.6.4/4.5.10/4.4.14, dan mendesak mereka yang menggunakan versi Samba yang rentan untuk menginstal patch sesegera mungkin.
