Несколько компаний, занимающихся кибербезопасностью, опубликовали информацию о том, что ботнет Satori пытается захватить устройства занимающиеся майнингом Ethereum.
Ботнет заражает устройства с помощью эксплойта порта 3333. Этот порт часто используется майнерами для удаленного контроля за оборудованием. Однако он так же является уязвимой целью для хакеров, которые хотят быстро заработать. Исследователи из Netlab обнаружили, что сканирование открытых портов 3333 началось 11 мая и в это же время ботнет Satori начал проявлять повышенную активность.
Другая компания GreyNoise добавила, что ботнет нацелен конкретно на тех, кто использует майнер Claymore Dual. Как только злоумышленники идентифицируют сервер, на котором работает Claymore, они запускают инструкции для перенастройки и отправляют всю добываемую криптовалюту на свой кошелек.
Как отмечают исследователи, сканирование запущено с мексиканских IP-адресов, которые в свою очередь подверглись атаке. Успешная атака на эти IP-адреса позволила ботнету получить контроль над маршрутизаторами GPON и захватить более 17 тысяч компьютеров в Мексике.
Исследователи советуют пользователям Claymore проверить настройку, так как многие майнеры не знают, что их криптовалюта утекает на сторонний кошелек.