De incidenten deden zich vorige maand voor bij de Oracle WebLogic servers die op Windows en Linux draaien. Bedrijven die met de servers werken, merkten toen op dat verschillende toepassingen trager draaiden. Secureworks heeft het probleem onderzocht en stelt nu dat de servers geïnfecteerd waren met software die bedoeld is om cryptomunten te delven.

Gekende kwetsbaarheid

Uit de data van geïnfecteerde Linux-systemen konden analisten in de /temp-directory binaire bestanden terugvinden die voor een grote prestatievermindering zorgden. Criminelen hadden volgens Secureworks misbruik gemaakt van een door Oracle gekende kwetsbaarheid in de WebLogic servers die nog niet via een securitypatch was verholpen. In de beschrijving wordt de fout letterlijk bestempeld als: "risicovol voor mogelijke misbruiken".

Het is tot dusver nog niet bekend wie precies achter de cyberaanval zat, maar het is wel duidelijk dat de daders munt wilden slaan uit de computerkracht van de servers. De hoge marktwaarde van bepaalde cryptomunten, alsook het feit dat het ervan eenvoudig via de cloud kan worden gedaan, maakt van dergelijke servers een aantrekkelijk doelwit voor criminelen.

Ondertussen hebben de Oracle WebLogic servers een beveiligingsupdate gekregen en werd het probleem verholpen.