شرکت امنیت سایبری، آزمایشگاه های Guardicore، شناسایی یک بات نت مخرب استخراج رمزنگاری را فاش کرد که نزدیک به دو سال است که در اول آوریل فعالیت می کند.
بازیگر تهدید دوبلهولگاربر اساس استخراج آلتکوین کمتر شناخته شده، Vollar (VSD)، ماشینهای ویندوزی را هدف قرار میدهد که سرورهای MS-SQL را اجرا میکنند – که گاردیکور تخمین میزند که از این تعداد فقط 500,000 در سراسر جهان وجود دارد.
با این حال، با وجود کمیاب بودن، سرورهای MS-SQL علاوه بر اینکه معمولاً اطلاعات ارزشمندی مانند نام کاربری، رمز عبور و جزئیات کارت اعتباری را ذخیره می کنند، قدرت پردازش قابل توجهی را ارائه می دهند.
شبکه بدافزار پیچیده استخراج رمزنگاری شناسایی شد
هنگامی که یک سرور آلوده می شود، وولگار قبل از استقرار چندین درب پشتی، ابزارهای دسترسی از راه دور (RAT) و ماینرهای رمزنگاری، «با جدیت و به طور کامل فرآیندهای دیگر عوامل تهدید را از بین می برد».
60٪ تنها برای مدت کوتاهی توسط Vollgar آلوده شدند، در حالی که تقریبا 20٪ تا چند هفته آلوده باقی ماندند. مشخص شد که 10 درصد از قربانیان مجدداً توسط این حمله آلوده شده اند. حملات Vollgar از بیش از 120 آدرس IP سرچشمه گرفته اند که بیشتر آنها در چین قرار دارند. گاردیکور انتظار دارد که بیشتر آدرسهای مربوط به ماشینهای در معرض خطری باشد که برای آلوده کردن قربانیان جدید استفاده میشوند.
Guidicore بخشی از تقصیر را متوجه شرکتهای میزبان فاسد میکند که چشمان خود را بر روی عوامل تهدید ساکن سرورهایشان میبندند و بیان میکند:
متأسفانه ، ثبت کنندگان فراموشی یا غفلت و شرکت های میزبان بخشی از این مشکل هستند ، زیرا آنها به مهاجمان اجازه می دهند از آدرس های IP و نام دامنه برای میزبانی زیرساخت ها استفاده کنند. اگر این ارائه دهندگان به گونه ای دیگر نگاه کنند ، حملات در مقیاس گسترده به رونق ادامه خواهد یافت و برای مدت طولانی تحت رادار فعالیت می کنند. "
معادن ولگار یا دو دارایی کریپتو
اوفیر هارپاز، محقق امنیت سایبری گاردیکور، به کوین تلگراف گفت که وولگار دارای ویژگی های متعددی است که آن را از اکثر حملات کریپجاپ متمایز می کند.
ابتدا، بیش از یک ارز دیجیتال استخراج می کند - Monero و آلت کوین VSD (Vollar). علاوه بر این، وولگار از یک استخر خصوصی برای هماهنگ کردن کل بات نت استخراج استفاده می کند. این چیزی است که فقط یک مهاجم با یک بات نت بسیار بزرگ می تواند انجام دهد."
هارپاز همچنین خاطرنشان میکند که برخلاف اکثر بدافزارهای استخراج، Vollgar به دنبال ایجاد چندین منبع درآمد بالقوه با استقرار چندین RAT در بالای ماینرهای مخرب کریپتو است. او می افزاید: «چنین دسترسی را می توان به راحتی در وب تاریک به پول تبدیل کرد.
ولگار نزدیک به دو سال فعالیت می کند
در حالی که محقق مشخص نکرد که گواردیکور چه زمانی را برای اولین بار Vollgar را شناسایی کرد، او اظهار داشت که افزایش فعالیت بات نت در دسامبر 2019 باعث شد این شرکت به بررسی دقیق تر بدافزار بپردازد.
هارپاز گفت: «بررسی عمیق این باتنت نشان داد که اولین حمله ثبتشده به می 2018 بازمیگردد که تقریباً دو سال فعالیت را در بر میگیرد».
بهترین شیوه های امنیت سایبری
هارپاز برای جلوگیری از عفونت ناشی از Vollgar و سایر حملات ماینینگ کریپتو، از سازمانها میخواهد که نقاط کور را در سیستمهای خود جستجو کنند.
توصیه میکنم با جمعآوری دادههای جریان شبکه شروع کنید و دید کاملی از قسمتهایی از مرکز داده که در معرض اینترنت هستند، داشته باشید. شما نمی توانید بدون اطلاعات وارد جنگ شوید. نقشه برداری از تمام ترافیک ورودی به مرکز داده، هوشی است که برای مبارزه با کریپتوماینرها به آن نیاز دارید.»
او می افزاید: «در مرحله بعد، مدافعان باید بررسی کنند که همه ماشین های در دسترس با سیستم عامل های به روز و اعتبارنامه های قوی کار می کنند.
کلاهبرداران فرصت طلب از COVID-19 استفاده می کنند
در هفته های اخیر، محققان امنیت سایبری زنگ را صدا کرد با توجه به گسترش سریع کلاهبرداری هایی که به دنبال افزایش ترس از ویروس کرونا هستند.
هفته گذشته، قانونگذاران شهرستان بریتانیا هشدار داد کلاهبرداران جعل هویت مرکز کنترل و پیشگیری از بیماریها و سازمان بهداشت جهانی را برای هدایت قربانیان به لینکهای مخرب یا دریافت متقلبانه کمکهای مالی بهعنوان بیتکوین (BTC) نشان میدهند.
در آغاز ماه مارس، یک حمله قفل صفحه تحت عنوان نصب یک نقشه حرارتی برای ردیابی شیوع ویروس کرونا به نام 'CovidLock' شناسایی شد.
منبع: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years