Duizenden servers zijn de afgelopen weken via een beveiligingslek in Apache Struts gehackt en onderdeel van een botnet gemaakt, om vervolgens voor ddos-aanvallen en ransomware te worden gebruikt. Het lek dat de aanvallers gebruiken werd op maandag 6 maart gepatcht en wordt sindsdien actief aangevallen.

Volgens netwerkfabrikant F5 zijn er inmiddels zo'n tien verschillende campagnes waargenomen waarbij aanvallers de kwetsbaarheid uitbuiten. Zodra een server via de kwetsbaarheid is gehackt maken de machines verbinding met een irc-kanaal. Het botnet dat de onderzoekers van F5 onderzochten bestond uit meer dan 2500 servers, waaronder ook productieservers. De onderzoekers merken op dat het botnet mogelijk uit veel meer machines bestaat, aangezien de 2500 servers zich in één irc-kanaal bevonden.

De besmette servers worden vervolgens gebruikt voor het uitvoeren van ddos-aanvallen en het 'minen' naar digitale valuta. Daarnaast worden ze ook met ransomware besmet. Met name het infecteren van gehackte servers met ransomware lijkt succesvol te zijn. Dit heeft de aanvallers tot nu toe 84 bitcoin opgeleverd, wat omgerekend 82.000 euro is. "Het aanvallen van servers in plaats van individuen met ransomware heeft veel meer kans om geld op te leveren, omdat ze meestal door organisaties worden beheerd die meer geld hebben en een betere infrastructuur die essentieel voor hun bedrijfsvoering is", zegt onderzoeker Dylan Syme.

De malware zoekt verder naar alle remote ip-adressen waarmee de serverbeheerder verbinding maakt. Hiervoor wordt het ssh "known_hosts" bestand doorzocht, dat de ip-adressen en fingerprints van alle servers bevat. Ook wordt er naar het Bash history-bestand gekeken om ip-adressen van servers te vinden. Zodra er een lijst van gebruikte ip-adressen is samengesteld probeert de malware hiermee verbinding te maken. Als er voor het inloggen op de ssh-server een 'key file' is gebruikt in plaats van een gebruikersnaam en wachtwoord, zal de malware zich ook op de ssh-server installeren.