Küberjulgeoleku firma, Guardicore'i laborid, paljastas 1. aprillil ligi kaks aastat tegutsenud pahatahtliku krüptokaevandamise botneti tuvastamise.
Ohunäitleja, nimega "VollgarPõhineb vähetuntud altcoini Vollar (VSD) kaevandamisel, mis on suunatud Windowsi masinatele, mis käitavad MS-SQL-servereid – Guardicore’i hinnangul on neid maailmas vaid 500,000 XNUMX.
Vaatamata nende vähesusele pakuvad MS-SQL-serverid lisaks tavapärasele väärtusliku teabe (nt kasutajanimed, paroolid ja krediitkaardiandmed) talletamisele ka suurt töötlemisvõimsust.
Tuvastati keerukas krüptokaevandamise pahavaravõrk
Kui server on nakatunud, tapab Vollgar enne mitme tagaukse, kaugjuurdepääsu tööriistade (RAT) ja krüptokaevurite kasutuselevõttu usinalt ja põhjalikult teiste ohus osalejate protsessid.
60% nakatus Vollgariga vaid lühiajaliselt, samas kui ligikaudu 20% nakatus kuni mitu nädalat. Leiti, et 10% ohvritest on rünnakust uuesti nakatunud. Vollgari rünnakud on pärit enam kui 120 IP-aadressilt, millest enamik asub Hiinas. Guardicore eeldab, et enamik aadresse vastab ohustatud masinatele, mida kasutatakse uute ohvrite nakatamiseks.
Guidicore paneb osa süüd korrumpeerunud hostimisettevõtetele, kes pigistavad oma serverites elavate ohustajate ees silma kinni, öeldes:
"Kahjuks on probleemi osaks unustavad või hooletud registripidajad ja hostimisettevõtted, kuna need võimaldavad ründajatel kasutada IP-aadresse ja domeeninimesid tervete infrastruktuuride majutamiseks. Kui need pakkujad jätkavad teistpidi vaatamist, jätkavad massirünnakud edu ja toimivad radari all pikka aega.
Vollgari kaevandused või kaks krüptovara
Guardicore'i küberjulgeoleku uurija Ophir Harpaz ütles Cointelegraphile, et Vollgaril on palju omadusi, mis eristavad seda enamikust krüptorünnakutest.
„Esiteks kaevandab see rohkem kui ühte krüptovaluutat – Monero ja alt-mündi VSD (Vollar). Lisaks kasutab Vollgar kogu kaevandusrotivõrgu korraldamiseks privaatset basseini. Seda võiks teha vaid väga suure robotivõrguga ründaja.
Harpaz märgib ka, et erinevalt enamikust kaevandavatest pahavaradest püüab Vollgar luua mitu potentsiaalset tuluallikat, juurutades pahatahtlike krüptokaevurite peale mitu RAT-i. "Sellise juurdepääsu saab pimedas veebis hõlpsasti rahaks muuta, " lisab ta.
Vollgar tegutseb peaaegu kaks aastat
Kuigi teadlane ei täpsustanud, millal Guardicore Vollgari esmakordselt tuvastas, nendib ta, et botneti aktiivsuse suurenemine 2019. aasta detsembris pani ettevõtte pahavara põhjalikumalt uurima.
"Selle botneti põhjalik uurimine näitas, et esimene registreeritud rünnak pärineb 2018. aasta maist, mis võtab kokku peaaegu kaheaastase tegevuse," ütles Harpaz.
Küberturvalisuse parimad tavad
Vollgari ja muude krüptokaevandamise rünnakute nakatumise vältimiseks kutsub Harpaz organisatsioone üles otsima oma süsteemides pimealasid.
„Soovitaksin alustada netflow andmete kogumisest ja saada täielik ülevaade sellest, millised andmekeskuse osad on Internetiga kokku puutunud. Ilma luureta ei saa sõtta astuda; kogu oma andmekeskusesse sissetuleva liikluse kaardistamine on luureandmed, mida vajate krüptokaevandajate vastu võitlemiseks.
"Järgmisena peaksid kaitsjad kontrollima, kas kõik juurdepääsetavad masinad töötavad ajakohaste operatsioonisüsteemide ja tugevate mandaatidega," lisab ta.
Oportunistlikud petturid kasutavad COVID-19
Viimastel nädalatel on küberjulgeoleku uurijad kõlas äratus seoses koroonaviiruse hirmu võimendamiseks mõeldud petuskeemide kiire levikuga.
Eelmisel nädalal Ühendkuningriigi maakondade reguleerivad asutused hoiatas et petturid kehastasid haiguste tõrje ja ennetamise keskust ja Maailma Terviseorganisatsiooni, et suunata ohvreid pahatahtlikele linkidele või saada pettuse teel annetusi Bitcoinina (BTC).
Märtsi alguses ringles ekraaniluku rünnak koroonaviiruse levikut jälgiva termokaardi paigaldamise sildi all nimega "CovidLock' tuvastati.
Allikas: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years