Kyberturvallisuusyritys, Guardicore Labs, paljasti 1. huhtikuuta melkein kaksi vuotta toimineen haitallisen salaustekniikan bottiverkon.
Uhkailija, nimeltään 'Vollgar", joka perustuu vähän tunnettuun Altcoinin Vollarin (VSD) louhintaan, kohdistuu Windows-koneisiin, joissa on MS-SQL-palvelimia - joista Guardicore arvioi, että maailmanlaajuisesti on vain 500,000 XNUMX.
Niistä puutteesta huolimatta MS-SQL-palvelimet tarjoavat kuitenkin suuren prosessointitehon sen lisäksi, että ne yleensä tallentavat arvokkaita tietoja, kuten käyttäjätunnuksia, salasanoja ja luottokorttitietoja.
Hienostunut salaustekniikan haittaohjelmaverkko tunnistettu
Kun palvelin on saanut tartunnan, Vollgar ”tappaa ahkerasti ja perusteellisesti muiden uhkatoimijoiden prosessit” ennen monien takaovien, etäkäyttötyökalujen (RAT) ja salauskaivosten käyttöön ottamista.
60% oli Vollgar-tartunnan saanut vain lyhyen ajan, kun taas noin 20% oli tartunnan saanut useita viikkoja. Hyökkäyksen todettiin saaneen 10% uhreista. Vollgar-hyökkäykset ovat lähtöisin yli 120 IP-osoitteesta, joista suurin osa sijaitsee Kiinassa. Guardicore odottaa suurimman osan osoitteista, jotka vastaavat vaarantuneita koneita, joita käytetään tartuttamaan uusia uhreja.
Guidicore on osa syyllisyyttä korruptoituneissa isännöintiyrityksissä, jotka katsovat silmänsä uhreille, jotka toimivat heidän palvelimissaan ja toteavat:
”Valitettavasti huomiotta jättäneet tai huolimattomat rekisterinpitäjät ja isännöintiyritykset ovat osa ongelmaa, koska niiden avulla hyökkääjät voivat käyttää IP-osoitteita ja verkkotunnuksia koko infrastruktuurin ylläpitämiseen. Jos nämä palveluntarjoajat näyttävät edelleen toiselta suuntaan, joukkomahdollisuudet hyötyvät edelleen ja toimivat tutkan alla pitkään. "
Vollgar-kaivokset tai kaksi salaustekijää
Guardicoren kyberturvallisuustutkija Ophir Harpaz kertoi Cointelegraphille, että Vollgarilla on lukuisia ominaisuuksia, jotka erottavat sen useimmista kryptojacking-hyökkäyksistä.
”Ensinnäkin se kaivaa useamman kuin yhden kryptovaluutan - Moneron ja alt-kolikon VSD: n (Vollar). Lisäksi Vollgar käyttää yksityistä uima-allasta koko kaivosrobotin orkestroimiseksi. Tätä vain hyökkääjä, jolla on erittäin suuri botnet, harkitsisi tekevänsä. "
Harpaz huomauttaa myös, että toisin kuin useimmat kaivoshaittaohjelmat, Vollgar pyrkii selvittämään useita potentiaalisia tulolähteitä asettamalla useita RAT: ita pahantahtoisten salauskaivosten päälle. "Tällainen käyttöoikeus voidaan helposti muuntaa rahaksi pimeässä verkossa", hän lisää.
Vollgar toimii lähes kaksi vuotta
Vaikka tutkija ei täsmentänyt, milloin Guardicore havaitsi Vollgarin, hän toteaa, että bottiverkon toiminnan lisääntyminen joulukuussa 2019 johti yrityksen tutkimaan haittaohjelmia tarkemmin.
"Tämän bottiverkon perusteellinen tutkimus paljasti, että ensimmäinen tallennettu hyökkäys oli päivätty toukokuussa 2018, ja se kertoo melkein kahden vuoden toiminnasta", kertoi Harpaz.
Kyberturvallisuuden parhaat käytännöt
Estääkseen Vollgarin ja muiden salaustehtävien aiheuttaman tartunnan, Harpaz kehottaa organisaatioita etsimään sokeita pisteitä järjestelmissään.
”Suosittelen aloittamista keräämällä netflow-tietoja ja saamaan täydellisen kuvan siitä, mitkä datakeskuksen osat ovat alttiina internetille. Et voi aloittaa sotaa ilman älykkyyttä; kaiken saapuvan liikenteen kartoittaminen tietokeskukseesi on älykkyyttä, jota tarvitset torjuakseen sotkua kryptomeneja vastaan. ”
"Seuraavaksi puolustajien on varmistettava, että kaikissa käytettävissä olevissa koneissa on ajantasaiset käyttöjärjestelmät ja vahvat käyttöoikeudet", hän lisää.
Oportunistiset huijarit hyödyntävät COVID-19: tä
Kyberturvallisuuden tutkijoilla on viime viikkoina kuulosti hälytystä koronaviruspelkojen hyödyntämistä koskevien huijausten nopeasta leviämisestä.
Viime viikolla Yhdistyneen kuningaskunnan läänin sääntelijät varoitti että huijarit esiintyivät tautien torjunta- ja ehkäisykeskuksessa ja Maailman terveysjärjestössä ohjaamaan uhrit haitallisiin linkkeihin tai vastaanottamaan vilpillisesti lahjoituksia Bitcoinina (BTC).
Maaliskuun alussa näytön lukitushyökkäys, joka liikkui varjolla koronaviruksen leviämistä seuraavan lämpökartan asettamisen nimeltä 'CovidLock'tunnistettiin.
Lähde: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-year