Cybersicherheitsfirma, Guardicore-Laborsenthüllte die Identifizierung eines böswilligen Crypto-Mining-Botnetzes, das am 1. April seit fast zwei Jahren in Betrieb ist.
Der Bedrohungsschauspieler, genannt 'Vollgar'basierend auf dem Abbau des wenig bekannten Altcoin Vollar (VSD), zielt auf Windows-Computer ab, auf denen MS-SQL-Server ausgeführt werden - von denen Guardicore schätzt, dass es weltweit nur 500,000 gibt.
Trotz ihrer Knappheit bieten MS-SQL-Server eine beträchtliche Verarbeitungsleistung und speichern in der Regel wertvolle Informationen wie Benutzernamen, Kennwörter und Kreditkartendaten.
Anspruchsvolles Crypto-Mining-Malware-Netzwerk identifiziert
Sobald ein Server infiziert ist, "beendet Vollgar die Prozesse anderer Bedrohungsakteure sorgfältig und gründlich", bevor mehrere Backdoors, RATs (Remote Access Tools) und Crypto Miner bereitgestellt werden.
60% waren nur für kurze Zeit von Vollgar infiziert, während etwa 20% bis zu mehreren Wochen infiziert blieben. 10% der Opfer wurden durch den Angriff erneut infiziert. Vollgar-Angriffe gingen von mehr als 120 IP-Adressen aus, von denen sich die meisten in China befinden. Guardicore erwartet, dass die meisten Adressen kompromittierten Maschinen entsprechen, mit denen neue Opfer infiziert werden.
Guidicore ist ein Teil der Schuld an korrupten Hosting-Unternehmen, die die Bedrohung für Bedrohungsakteure auf ihren Servern ignorieren.
„Leider sind ahnungslose oder fahrlässige Registrare und Hosting-Unternehmen Teil des Problems, da sie es Angreifern ermöglichen, IP-Adressen und Domain-Namen zum Hosten ganzer Infrastrukturen zu verwenden. Wenn diese Anbieter weiterhin wegschauen, werden Massenangriffe über lange Zeiträume hinweg erfolgreich sein und unter dem Radar operieren. “
Vollgar-Minen oder zwei Krypto-Assets
Der Cybersicherheitsforscher von Guardicore, Ophir Harpaz, sagte gegenüber Cointelegraph, Vollgar habe zahlreiche Eigenschaften, die ihn von den meisten Cryptojacking-Angriffen unterscheiden.
„Erstens werden mehr als eine Kryptowährung abgebaut - Monero und der Alt-Coin-VSD (Vollar). Zusätzlich verwendet Vollgar einen privaten Pool, um das gesamte Mining-Botnetz zu orchestrieren. Dies würde nur ein Angreifer mit einem sehr großen Botnetz in Betracht ziehen. “
Harpaz stellt außerdem fest, dass Vollgar im Gegensatz zu den meisten Mining-Malware versucht, mehrere potenzielle Einnahmequellen zu ermitteln, indem mehrere RATs zusätzlich zu den böswilligen Crypto Miner bereitgestellt werden. "Ein solcher Zugang kann im dunklen Internet leicht in Geld umgewandelt werden", fügt er hinzu.
Vollgar ist seit fast zwei Jahren tätig
Während der Forscher nicht spezifizierte, wann Guardicore Vollgar zum ersten Mal identifizierte, gab er an, dass eine Zunahme der Aktivität des Botnetzes im Dezember 2019 das Unternehmen veranlasste, die Malware genauer zu untersuchen.
"Eine eingehende Untersuchung dieses Botnetzes ergab, dass der erste aufgezeichnete Angriff auf den Mai 2018 zurückgeht, was einer Aktivität von fast zwei Jahren entspricht", sagte Harpaz.
Best Practices für Cybersicherheit
Um Infektionen durch Vollgar und andere Crypto-Mining-Angriffe zu verhindern, fordert Harpaz Unternehmen dringend auf, nach blinden Flecken in ihren Systemen zu suchen.
„Ich würde empfehlen, mit der Erfassung von Netflow-Daten zu beginnen und einen vollständigen Überblick darüber zu erhalten, welche Teile des Rechenzentrums dem Internet ausgesetzt sind. Ohne Intelligenz kann man nicht in einen Krieg eintreten. Die Zuordnung des gesamten eingehenden Datenverkehrs zu Ihrem Rechenzentrum ist die Intelligenz, die Sie benötigen, um den Krieg gegen Kryptominierer zu führen. “
"Als nächstes sollten Verteidiger überprüfen, ob alle zugänglichen Computer mit aktuellen Betriebssystemen und starken Anmeldeinformationen ausgeführt werden", fügt er hinzu.
Opportunistische Betrüger nutzen COVID-19
In den letzten Wochen haben Cybersicherheitsforscher Alarm ausgelöst in Bezug auf eine rasche Verbreitung von Betrug, der versucht, die Ängste vor Coronaviren zu nutzen.
Letzte Woche, UK County Regulierungsbehörden gewarnt Betrüger gaben sich als das Zentrum für die Kontrolle und Prävention von Krankheiten und die Weltgesundheitsorganisation aus, um Opfer auf böswillige Links umzuleiten oder betrügerisch Spenden als Bitcoin (BTC) zu erhalten.
Anfang März zirkulierte ein Bildschirmsperrangriff unter dem Deckmantel der Installation einer thermischen Karte, die die Ausbreitung des Coronavirus mit dem Namen 'CovidLock' wurde identifiziert.
Quelle: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years