Исследователи лаборатории Касперского зафиксировали активность злоумышленников, связанную с попытками захвата управления над Linux-серверами, на которых не устранена критическая уязвимость (CVE-2017-7494) в Samba, позволяющая выполнить код на сервере. В отличие от похожих целевых атак на Windows-системы с уязвимостью в стеке SMB, атака на Linux-системы сводится к установке не шифровальщика-вымогателя, а ПО для майнинга криптовалют (Trojan-Downloader.Linux.EternalMiner). При успешной атаке на сервер также устанавливается бэкдор для организации удалённого входа (Backdoor.Linux.Agent).

Уязвимость в Samba требует для своей эксплуатации возможности записи в раздел. Как правило, разделы Samba экспортируются только для локальной сети, а наличие разделов Samba с доступом на запись, которые можно примонтировать из внешней сети без авторизации, само по себе уже является уязвимостью и встречается чрезвычайно редко. Отмеченная исследователями атака в основном актуальна как второй этап распространения влияния злоумышленников после первичного взлома клиентских систем в корпоративных локальных сетях. Например, первый этап взлома может осуществляться с использованием методов социальной инженерии через отправку троянского ПО сотрудникам по электронной почте. После запуска троянского ПО осуществляется сканирование доступных в локальной сети серверных систем и поражение тех, что содержат неисправленных уязвимости.

Масштаб атаки пока неизвестен, удалось узнать только характеристики кошелька, на которые поступают полученные в результате майнинга средства. За месяц на кошелёк поступило 98 XMR (около 5.5 тысяч долларов).

Дополнительно можно отметить волну атак на платы Raspberry Pi, которые подключены к глобальной сети без смены устанавливаемого по умолчанию пароля (логин pi, пароль raspberry). Исследователи из компании «Доктор Веб» выявили вредоносное ПО Linux.MulDrop.14, которое сканирует сетевые устройства с пользователем pi и типовыми паролями, задаваемыми по умолчанию, после чего устанавливает на них ПО ZMap, sshpass и компонент для майнинга криптовалют, меняет пароль для пользователя pi и запускает цикл сканирования устройств при помощи zmap с попытками входа по ssh и запуска своей копии.