شركة الأمن السيبراني ، مختبرات Guardicore، كشفت عن تحديد شبكة الروبوتات الخبيثة في التنقيب عن العملات الرقمية التي تعمل منذ عامين تقريبًا في 1 أبريل.
الفاعل التهديد ، مدبلج "فولجاراستنادًا إلى تعدين عملة altcoin غير المعروفة ، Vollar (VSD) ، يستهدف أجهزة Windows التي تعمل على خوادم MS-SQL - التي تقدر Guardicore أن هناك 500,000 فقط موجودة في جميع أنحاء العالم.
ومع ذلك ، على الرغم من ندرتها ، توفر خوادم MS-SQL قوة معالجة كبيرة بالإضافة إلى تخزين معلومات قيمة عادةً مثل أسماء المستخدمين وكلمات المرور وتفاصيل بطاقة الائتمان.
تم تحديد شبكة برامج ضارة متطورة للتنقيب عن العملات الرقمية
بمجرد إصابة الخادم ، يقوم Vollgar "بقتل عمليات الجهات الأخرى المكلفة بالتهديد بجد ودقة" قبل نشر العديد من الأبواب الخلفية وأدوات الوصول عن بعد (RATs) وعمال المناجم المشفرة.
أصيب 60 ٪ فقط من قبل فولجار لفترة قصيرة ، في حين بقي حوالي 20 ٪ مصابين لمدة تصل إلى عدة أسابيع. تم العثور على 10٪ من الضحايا قد أعيدوا من جراء الهجوم. نشأت هجمات Vollgar من أكثر من 120 عنوان IP ، يقع معظمها في الصين. تتوقع Guardicore معظم العناوين المقابلة للآلات المخترقة التي يتم استخدامها لإصابة ضحايا جدد.
يلقي Guidicore جزءًا من اللوم على شركات الاستضافة الفاسدة التي تغض الطرف عن تهديد الجهات الفاعلة التي تسكن خوادمها ، قائلة:
"لسوء الحظ ، يُعد المسجلون الغافلون أو المتجاهلون والشركات المستضيفة جزءًا من المشكلة ، حيث يسمحون للمهاجمين باستخدام عناوين IP وأسماء النطاقات لاستضافة البنى التحتية بأكملها. إذا استمر هؤلاء المقدمون في النظر إلى الاتجاه الآخر ، فستستمر الهجمات واسعة النطاق في الازدهار والعمل تحت الرادار لفترات طويلة من الزمن. "
الألغام Vollgar أو اثنين من أصول التشفير
وقال أوفير هارباز ، باحث الأمن السيبراني في غوارديكور ، لـ Cointelegraph إن فولجار لها العديد من الصفات التي تميزها عن معظم هجمات الكريبتو.
"أولاً ، تقوم بالتعدين في أكثر من عملة رقمية مشفرة - Monero و alt-coin VSD (Vollar). بالإضافة إلى ذلك ، يستخدم Vollgar مسبحًا خاصًا لتنظيم الروبوتات التعدينية بالكامل. هذا شيء لا يفكر فيه سوى مهاجم لديه شبكة بوت كبيرة جدًا. "
يلاحظ Harpaz أيضًا أنه على عكس معظم برامج التعدين الضارة ، تسعى Vollgar إلى إنشاء مصادر متعددة للإيرادات المحتملة عن طريق نشر العديد من RATs فوق عمال المناجم المشفرة الخبيثة. ويضيف: "يمكن ترجمة هذا الوصول بسهولة إلى أموال على الويب المظلم".
تعمل فولجار لمدة عامين تقريبًا
بينما لم يحدد الباحث متى حدد Guardicore لأول مرة فولجار ، إلا أنه يذكر أن زيادة نشاط الروبوتات في ديسمبر 2019 دفعت الشركة إلى فحص البرامج الضارة عن كثب.
قال هارباز: "كشف تحقيق متعمق في هذه الروبوتات أن أول هجوم مسجل يعود إلى مايو 2018 ، والذي يصل إلى ما يقرب من عامين من النشاط".
أفضل ممارسات الأمن السيبراني
لمنع الإصابة بفيروس Vollgar وغيرها من هجمات تعدين العملات الرقمية ، تحث Harpaz المنظمات على البحث عن النقاط العمياء في أنظمتها.
"أوصي بالبدء بجمع بيانات netflow والحصول على رؤية كاملة لأجزاء مركز البيانات المعرضة للإنترنت. لا يمكنك الدخول في حرب بدون ذكاء. إن تعيين كل حركة المرور الواردة إلى مركز البيانات الخاص بك هو الذكاء الذي تحتاجه لخوض الحرب ضد المشتغلين بالتشفير ".
ويضيف: "بعد ذلك ، ينبغي على المدافعين التحقق من أن جميع الأجهزة التي يمكن الوصول إليها تعمل بأحدث أنظمة التشغيل وبيانات الاعتماد القوية".
يستغل المحتالون الانتهازيون COVID-19
في الأسابيع الأخيرة ، فعل باحثو الأمن السيبراني بدا ناقوس الخطر فيما يتعلق بالانتشار السريع في عمليات الاحتيال التي تسعى إلى تعزيز مخاوف الفيروس التاجي.
الأسبوع الماضي ، المنظمين مقاطعة المملكة المتحدة حذر أن المخادعين ينتحلون صفة مركز السيطرة على الأمراض والوقاية منها ومنظمة الصحة العالمية لإعادة توجيه الضحايا إلى الروابط الخبيثة أو لتلقي التبرعات عن طريق الاحتيال باسم بيتكوين (BTC).
في بداية شهر مارس ، كان هناك هجوم على قفل الشاشة ينتشر تحت ستار تثبيت خريطة حرارية تتتبع انتشار الفيروس التاجي يسمى "كوفيدلوك' تم تحديدها.
المصدر: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years