En ny variant av den skadliga koden Golang hotar att infektera Windowsenheter för att gräva efter kryptovalutan Monero.
Säkerhetsexperter på Barracuda Networks har hittills identifierat sju IP-adresser som kan kopplas till den nya varianten av Golang. Samtliga IP-adresser är baserade i Kina. Golang har tidigare bara angripit Linuxenheter.
Kryptokapning bygger enkelt uttryckt på att stjäla cpu-kraft från en dator för att skapa kryptovaluta. Genom att kapa stora mängder datorer och skapa så kallade botnät, kan kaparna göra många beräkningar under kort tid vilket genererar mer pengar. Kryptovalutan Monero som är målet för upphovsmakarna till Golang är svårare att spåra för myndigheter och kräver dessutom mindre cpu-kraft än till exempel Bitcoin.
Säkrare intäkt än gisslanprogram – och svårare att upptäcka
– Om man jämför kryptokapning med gisslanprogram kan det förstnämnda ofta ge en jämn och säker intäkt som inte förutsätter att offret ska betala lösensumman. Kryptokapning påverkar heller inte produktionen av varor och tjänster på samma drastiska sätt som en attack med gisslanprogram. En kryptokapare är på så vis mer försåtlig och kan ofta generera pengar utan att upptäckas, kommenterar Peter Gustafsson, ansvarig för Barracuda Networks i Norden.
Golang sprider sig som en mask. Den skadliga koden angriper webbapplikationer, applikationsservrar och tjänster som inte är http-relaterade som Redis och MSSQL. Den nya varianten använder en ny samling så kallade exploits som bland annat angriper ramverket ThinkPHP vilket används för att utveckla webbapplikationer.
– Den senaste varianten av Golang är ytterligare ett bevis på att cyberkriminella hela tiden utvecklar nya verktyg och angreppssätt. De arbetar ofta metodiskt och utnyttjar varje svaghet som kan skapa en öppning för nya attacker. För att skydda sig krävs ett proaktivt och snabbfotat säkerhetsarbete som ser till helheten och inte bjuder på svagheter i IT-miljön, säger Peter Gustafsson.