εταιρεία κυβερνοασφάλειας, Εργαστήρια Guardicore, αποκάλυψε την ταυτοποίηση ενός κακόβουλου botnet εξόρυξης κρυπτονομισμάτων που λειτουργεί εδώ και σχεδόν δύο χρόνια την 1η Απριλίου.
Ο ηθοποιός της απειλής, μεταγλωττισμένος "VollgarΜε βάση την εξόρυξη του ελάχιστα γνωστού altcoin, Vollar (VSD), στοχεύει μηχανές Windows που εκτελούν διακομιστές MS-SQL — από τους οποίους η Guardicore εκτιμά ότι υπάρχουν μόνο 500,000 σε όλο τον κόσμο.
Ωστόσο, παρά τη σπανιότητά τους, οι διακομιστές MS-SQL προσφέρουν μεγάλη επεξεργαστική ισχύ εκτός από την τυπική αποθήκευση πολύτιμων πληροφοριών όπως ονόματα χρήστη, κωδικούς πρόσβασης και στοιχεία πιστωτικών καρτών.
Εντοπίστηκε εξελιγμένο δίκτυο κακόβουλου λογισμικού εξόρυξης κρυπτονομισμάτων
Μόλις μολυνθεί ένας διακομιστής, ο Vollgar «σκοτώνει επιμελώς και σχολαστικά τις διαδικασίες άλλων παραγόντων απειλών», προτού αναπτύξει πολλαπλές κερκόπορτες, εργαλεία απομακρυσμένης πρόσβασης (RAT) και εξορύκτες κρυπτονομισμάτων.
Το 60% μολύνθηκε από τον Vollgar μόνο για μικρή διάρκεια, ενώ περίπου το 20% παρέμεινε μολυσμένο για έως και αρκετές εβδομάδες. Το 10% των θυμάτων βρέθηκε ότι είχαν μολυνθεί εκ νέου από την επίθεση. Οι επιθέσεις Vollgar προέρχονται από περισσότερες από 120 διευθύνσεις IP, οι περισσότερες από τις οποίες βρίσκονται στην Κίνα. Η Guardicore αναμένει ότι οι περισσότερες από τις διευθύνσεις αντιστοιχούν σε παραβιασμένα μηχανήματα που χρησιμοποιούνται για τη μόλυνση νέων θυμάτων.
Η Guidicore φέρει μέρος της ευθύνης στις διεφθαρμένες εταιρείες φιλοξενίας που κλείνουν τα μάτια σε απειλές που κατοικούν στους διακομιστές τους, δηλώνοντας:
«Δυστυχώς, οι αγνοούντες ή αμελείς καταχωρητές και εταιρείες φιλοξενίας αποτελούν μέρος του προβλήματος, καθώς επιτρέπουν στους εισβολείς να χρησιμοποιούν διευθύνσεις IP και ονόματα τομέα για να φιλοξενούν ολόκληρες υποδομές. Εάν αυτοί οι πάροχοι συνεχίσουν να κοιτάζουν από την άλλη πλευρά, οι μαζικές επιθέσεις θα συνεχίσουν να ευημερούν και να λειτουργούν υπό το ραντάρ για μεγάλες χρονικές περιόδους».
Ορυχεία Vollgar ή δύο περιουσιακά στοιχεία κρυπτογράφησης
Ο ερευνητής κυβερνοασφάλειας της Guardicore, Ophir Harpaz, είπε στην Cointelegraph ότι ο Vollgar έχει πολλές ιδιότητες που το διαφοροποιούν από τις περισσότερες επιθέσεις cryptojacking.
«Πρώτον, εξορύσσει περισσότερα από ένα κρυπτονομίσματα – το Monero και το alt-coin VSD (Vollar). Επιπλέον, ο Vollgar χρησιμοποιεί μια ιδιωτική πισίνα για να ενορχηστρώσει ολόκληρο το botnet εξόρυξης. Αυτό είναι κάτι που μόνο ένας εισβολέας με πολύ μεγάλο botnet θα μπορούσε να σκεφτεί να κάνει."
Η Harpaz σημειώνει επίσης ότι σε αντίθεση με τα περισσότερα κακόβουλα προγράμματα εξόρυξης, η Vollgar επιδιώκει να δημιουργήσει πολλαπλές πηγές πιθανών εσόδων με την ανάπτυξη πολλαπλών RAT πάνω από τους κακόβουλους εξορύκτες κρυπτογράφησης. «Τέτοια πρόσβαση μπορεί εύκολα να μεταφραστεί σε χρήματα στον σκοτεινό ιστό», προσθέτει.
Η Vollgar λειτουργεί για σχεδόν δύο χρόνια
Αν και ο ερευνητής δεν διευκρίνισε πότε η Guardicore εντόπισε για πρώτη φορά τον Vollgar, δηλώνει ότι η αύξηση της δραστηριότητας του botnet τον Δεκέμβριο του 2019 οδήγησε την εταιρεία να εξετάσει το κακόβουλο λογισμικό πιο προσεκτικά.
«Μια εις βάθος έρευνα αυτού του botnet αποκάλυψε ότι η πρώτη καταγεγραμμένη επίθεση χρονολογείται από τον Μάιο του 2018, η οποία συνοψίζει σχεδόν δύο χρόνια δραστηριότητας», είπε ο Harpaz.
Βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο
Για να αποφευχθεί η μόλυνση από επιθέσεις Vollgar και άλλες επιθέσεις εξόρυξης κρυπτονομισμάτων, η Harpaz προτρέπει τους οργανισμούς να αναζητήσουν τυφλά σημεία στα συστήματά τους.
«Θα συνιστούσα να ξεκινήσετε με τη συλλογή δεδομένων netflow και να έχετε μια πλήρη εικόνα για τα μέρη του κέντρου δεδομένων που εκτίθενται στο διαδίκτυο. Δεν μπορείς να μπεις σε έναν πόλεμο χωρίς νοημοσύνη. Η αντιστοίχιση όλης της εισερχόμενης κίνησης στο κέντρο δεδομένων σας είναι η ευφυΐα που χρειάζεστε για να πολεμήσετε τον πόλεμο κατά των cryptominers."
«Στη συνέχεια, οι υπερασπιστές θα πρέπει να επαληθεύσουν ότι όλα τα προσβάσιμα μηχανήματα λειτουργούν με ενημερωμένα λειτουργικά συστήματα και ισχυρά διαπιστευτήρια», προσθέτει.
Οι καιροσκοπικοί απατεώνες αξιοποιούν το COVID-19
Τις τελευταίες εβδομάδες, οι ερευνητές στον τομέα της κυβερνοασφάλειας ακούστηκε ο συναγερμός σχετικά με την ταχεία εξάπλωση των απατών που επιδιώκουν να αξιοποιήσουν τους φόβους του κορωνοϊού.
Την περασμένη εβδομάδα, οι ρυθμιστικές αρχές του Ηνωμένου Βασιλείου προειδοποίησε ότι οι απατεώνες υποδύονταν το Κέντρο Ελέγχου και Πρόληψης Νοσημάτων και τον Παγκόσμιο Οργανισμό Υγείας για να ανακατευθύνουν τα θύματα σε κακόβουλους συνδέσμους ή για να λαμβάνουν δόλια δωρεές ως Bitcoin (BTC).
Στις αρχές Μαρτίου, μια επίθεση κλειδώματος οθόνης κυκλοφορούσε υπό το πρόσχημα της εγκατάστασης ενός θερμικού χάρτη που παρακολουθεί την εξάπλωση του κορωνοϊού με την ονομασία «CovidLock" ταυτοποιήθηκε.
Πηγή: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years