Empresa de ciberseguridad, Laboratorios Guardicore, reveló la identificación de una botnet de cripto-minería maliciosa que ha estado funcionando durante casi dos años el 1 de abril.
El actor de la amenaza, apodado 'Vollgar'basado en su extracción de la poco conocida altcoin, Vollar (VSD), apunta a máquinas Windows que ejecutan servidores MS-SQL, de los cuales Guardicore estima que solo existen 500,000 en todo el mundo.
Sin embargo, a pesar de su escasez, los servidores MS-SQL ofrecen una potencia de procesamiento considerable además de almacenar información valiosa, como nombres de usuario, contraseñas y detalles de tarjetas de crédito.
Red sofisticada de malware de cripto-minería identificada
Una vez que un servidor está infectado, Vollgar "mata diligentemente y a fondo los procesos de otros actores de amenazas", antes de implementar múltiples puertas traseras, herramientas de acceso remoto (RAT) y mineros de cifrado.
El 60% solo fue infectado por Vollgar durante un corto período de tiempo, mientras que aproximadamente el 20% permaneció infectado durante varias semanas. Se descubrió que el 10% de las víctimas habían sido reinfectadas por el ataque. Los ataques de Vollgar se originaron en más de 120 direcciones IP, la mayoría de las cuales se encuentran en China. Guardicore espera la mayoría de las direcciones correspondientes a máquinas comprometidas que se utilizan para infectar a nuevas víctimas.
Guidicore tiene parte de la culpa con las empresas corruptas de hosting que hacen la vista gorda ante los actores de amenazas que habitan en sus servidores, declarando:
"Desafortunadamente, los registradores ajenos o negligentes y las empresas de hosting son parte del problema, ya que permiten a los atacantes usar direcciones IP y nombres de dominio para alojar infraestructuras completas. Si estos proveedores continúan mirando para otro lado, los ataques a gran escala continuarán prosperando y operarán bajo el radar por largos períodos de tiempo ".
Minas Vollgar o dos activos criptográficos
El investigador de ciberseguridad de Guardicore, Ophir Harpaz, le dijo a Cointelegraph que Vollgar tiene numerosas cualidades que lo diferencian de la mayoría de los ataques de criptojacking.
“Primero, extrae más de una criptomoneda: Monero y la moneda alternativa VSD (Vollar). Además, Vollgar utiliza un grupo privado para orquestar toda la botnet de minería. Esto es algo que solo un atacante con una botnet muy grande consideraría hacer ".
Harpaz también señala que, a diferencia de la mayoría de los programas maliciosos de minería, Vollgar busca establecer múltiples fuentes de ingresos potenciales mediante la implementación de múltiples RAT además de los cripto mineros maliciosos. "Dicho acceso se puede traducir fácilmente en dinero en la web oscura", agrega.
Vollgar opera por casi dos años
Si bien el investigador no especificó cuándo Guardicore identificó por primera vez a Vollgar, afirma que un aumento en la actividad de la botnet en diciembre de 2019 llevó a la empresa a examinar el malware más de cerca.
"Una investigación en profundidad de esta botnet reveló que el primer ataque registrado data de mayo de 2018, lo que suma casi dos años de actividad", dijo Harpaz.
Mejores prácticas de ciberseguridad
Para evitar la infección de Vollgar y otros ataques de minería criptográfica, Harpaz insta a las organizaciones a buscar puntos ciegos en sus sistemas.
“Recomendaría comenzar con la recopilación de datos de netflow y obtener una vista completa de qué partes del centro de datos están expuestas a Internet. No puedes entrar en una guerra sin inteligencia; mapear todo el tráfico entrante a su centro de datos es la inteligencia que necesita para luchar en la guerra contra los criptomineros ".
"A continuación, los defensores deben verificar que todas las máquinas accesibles estén funcionando con sistemas operativos actualizados y credenciales sólidas", agrega.
Los estafadores oportunistas aprovechan COVID-19
En las últimas semanas, los investigadores de ciberseguridad han sonó la alarma con respecto a una rápida proliferación de estafas que buscan aprovechar los temores de coronavirus.
La semana pasada, los reguladores del condado del Reino Unido prevenido que los estafadores se hicieron pasar por el Centro para el Control y la Prevención de Enfermedades y la Organización Mundial de la Salud para redirigir a las víctimas a enlaces maliciosos o para recibir donaciones fraudulentamente como Bitcoin (BTC).
A principios de marzo, un ataque de bloqueo de pantalla que circula bajo la apariencia de instalar un mapa térmico que rastrea la propagación del coronavirus llamado 'Bloqueo Covid'fue identificado.
Fuente: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years