MikROTIK路由器被奴役于大规模的CooCuvie加密运动中

通过对MikROTIK路由器和网络设备的奴役，一场大规模的劫持活动已经袭击了巴西。

据Trustwave研究者Simon Kenin，7月31日，检测到了CoCurvE活动的激增，这表明恶意加密挖掘操作正在进行中。
在一篇博客文章中，研究人员说，经过进一步的检查，似乎是涉及MikroTik的设备。
总部位于拉脱维亚的MikROTIK为全世界的客户提供网络设备，在这次活动中，巴西是主要目标国家。
这可能是一个奇怪的巧合，只不过是在同一时间发生的一系列妥协，但Kenin注意到所有的设备都使用同一个CooCiff-SITEKEY。
CCONEVE是合法使用的软件，一般在浏览器中，通过网站临时借用访问者CPU电源，以挖掘虚拟货币莫内罗。对脚本的广泛滥用已经导致许多防病毒和网络安全解决方案的公司阻止脚本。
如果使用相同的SITEKEY，这意味着所涉及的所有设备都代表一个控制实体挖掘虚拟金。
虽然Trustwave公司估计多达175000台设备已经遭到破坏，但安全研究员Troy Mursch告诉BLASECT，第二个SITEKEY在大约25000个路由器中使用。
如果两个密钥都是同一威胁参与者的工作，这会使计数大约为200000。
研究人员发现了CoCurvie活性峰与MikroTik之间的联系。该公司开发的路由器被追溯到巴西一家医院的折衷方案，一个人在自己的系统上遇到麻烦，同时在ReDDIT上发布了一个寻找帮助的线索。
技术：谷歌破坏Chrome扩展来挖掘密码
所讨论的用户说，他们访问的每个网页都注入了CONEXVE代码，并且既不改变DNS也不删除路由器。
“在这一点上，值得注意的是，MiROTIK路由器被互联网供应商和大型组织使用，在这种情况下，似乎ReDIT帖子的作者的ISP路由器受到了损害，与我在帖子中提到的医院的路由器一样，”研究人员说。
然后，MalwareHunter的推特提供了一个链接。
该消息提到了MikroTik装置的“大规模开发”。然而，允许企业路由器成为隐写挖掘奴隶的漏洞并不是零日，而是CVE-201814847，一个已知的影响MikroTik RouterOS的WiBox的安全漏洞。
通过该软件的版本6.42，远程攻击者能够根据修改描述，通过修改与会话ID相关的一个字节的请求来绕过认证和读取任意文件。
还可以看到：海盗湾变透明了吗？
这些设备的大规模开发不一定是供应商的错。该漏洞在发现的一天内被修补，但令人遗憾的是，成千上万的设备没有被更新，这使得它们很容易被利用。
通过利用安全漏洞，负责该活动的威胁演员能够妥协路由器，以将CONECVEVE脚本注入到由用户访问的每个网页中。
目前还不清楚谁是竞选的幕后黑手，但Kenin认为“攻击者清楚地表明了MikroTik路由器的工作原理。”
CNET：比特币价值下跌后，韩国交易所黑客
这场运动是另一个例子，如果单个设备不接受安全更新，那么大规模的事件可能会发生。
以同样的方式，Miai-IOT僵尸网络能够破坏由于不安全的消费家用设备造成的破坏，我们的设备的个人安全需要更严肃地对待。
研究人员补充说：“RANSOMDS的认知度已经显著提高，即使在很多情况下，即使攻击者设法加密文件，用户也有备份。”这意味着他们不会像以前那样频繁地支付赎金。矿工，另一方面，可以是更隐秘的，因此，虽然一台计算机将产生更多的钱从勒索，如果用户最终支付，攻击者宁愿运行潜伏矿工更长的时间。