Ongepatchte Oracle WebLogic Servers geïnfecteerd met Cryptocurrency Software

Cybercriminelen hebben de afgelopen weken een bekende kwetsbaarheid van Oracle WebLogic-servers misbruikt om deze met cryptocurrency mining software te infecteren. Het Incident Response (IR) team van Secureworks werd sinds 22 december door een aantal organisaties (in de productie, onderwijs, overheid, gezondheidszorg en IT-industrieën) benaderd die aangaven dat malware op hun IT-systemen de prestaties van bedrijfskritische en klantgerichte apps aanzienlijk verslechterde.

Alle slachtoffers werden geïnfecteerd met cryptocurrency mining software die cybercriminelen via een bekende kwetsbaarheid (CVE-2017-10271) van Oracle WebLogic-servers wisten te installeren.

Dit soort incidenten is representatief voor bredere campagnes van financieel gemotiveerde cybercriminelen die cryptocurrency mining software installeren op grote aantallen geïnfecteerde hosts.

De marktwaardering van verschillende cryptocurrencies en de mogelijkheid om kosten in verband met het mining-proces uit te besteden aan niets vermoedende derde partijen maken dit soort activiteiten aantrekkelijk. Dit type activiteit zal waarschijnlijk doorgaan zolang cryptocurrency mining rendabel is.

Meer details over hoe deze incidenten zich hebben voorgedaan en advies over hoe beveiligingsteams hun organisaties kunnen beschermen tegen de aanvallen vind je in deze Engelstalige blog.