Entreprise de cybersécurité, Laboratoires Guardicore, a révélé l'identification d'un botnet malveillant de crypto-extraction qui fonctionne depuis près de deux ans le 1er avril.
L'acteur de la menace, surnommé 'Vollgar«sur la base de son exploitation de l'alcoin peu connu, Vollar (VSD), cible les machines Windows exécutant des serveurs MS-SQL - dont Guardicore estime qu'il n'y en a que 500,000 XNUMX dans le monde.
Cependant, malgré leur rareté, les serveurs MS-SQL offrent une puissance de traitement considérable en plus de stocker généralement des informations précieuses telles que les noms d'utilisateur, les mots de passe et les détails de la carte de crédit.
Un réseau sophistiqué de logiciels malveillants de minage cryptographique identifié
Une fois qu'un serveur est infecté, Vollgar «tue avec diligence et en profondeur les processus des autres acteurs de la menace», avant de déployer plusieurs backdoors, des outils d'accès à distance (RAT) et des mineurs de crypto.
60% n'ont été infectés par Vollgar que pendant une courte durée, tandis qu'environ 20% sont restés infectés pendant plusieurs semaines. 10% des victimes auraient été réinfectées par l'attaque. Les attaques de Vollgar proviennent de plus de 120 adresses IP, dont la plupart sont situées en Chine. Guardicore attend la plupart des adresses correspondant à des machines compromises qui sont utilisées pour infecter de nouvelles victimes.
Guidicore blâme en partie les sociétés d'hébergement corrompues qui ferment les yeux sur les acteurs menaçants qui habitent leurs serveurs, déclarant:
«Malheureusement, les bureaux d'enregistrement et les sociétés d'hébergement inconscients ou négligents font partie du problème, car ils permettent aux attaquants d'utiliser des adresses IP et des noms de domaine pour héberger des infrastructures entières. Si ces fournisseurs continuent de détourner le regard, les attaques à grande échelle continueront de prospérer et de fonctionner sous le radar pendant de longues périodes. »
Mines Vollgar ou deux actifs cryptographiques
Le chercheur en cybersécurité de Guardicore, Ophir Harpaz, a déclaré à Cointelegraph que Vollgar possède de nombreuses qualités qui le différencient de la plupart des attaques de cryptojacking.
«Premièrement, il exploite plus d'une crypto-monnaie - Monero et l'alt-coin VSD (Vollar). De plus, Vollgar utilise un pool privé pour orchestrer l'intégralité du botnet minier. C'est quelque chose que seul un attaquant disposant d'un très grand botnet envisagerait de faire. »
Harpaz note également que contrairement à la plupart des logiciels malveillants miniers, Vollgar cherche à établir plusieurs sources de revenus potentiels en déployant plusieurs RAT sur les mineurs de crypto malveillants. «Un tel accès peut être facilement traduit en argent sur le dark web», ajoute-t-il.
Vollgar fonctionne depuis près de deux ans
Bien que le chercheur n'ait pas précisé quand Guardicore a identifié Vollgar pour la première fois, il déclare qu'une augmentation de l'activité du botnet en décembre 2019 a conduit l'entreprise à examiner de plus près le malware.
"Une enquête approfondie sur ce botnet a révélé que la première attaque enregistrée remontait à mai 2018, ce qui représente près de deux ans d'activité", a déclaré Harpaz.
Meilleures pratiques de cybersécurité
Pour prévenir l'infection par Vollgar et d'autres attaques de crypto mining, Harpaz exhorte les organisations à rechercher des angles morts dans leurs systèmes.
«Je recommanderais de commencer par collecter des données netflow et d'obtenir une vue complète des parties du centre de données exposées à Internet. Vous ne pouvez pas entrer en guerre sans intelligence; cartographier tout le trafic entrant vers votre centre de données est l'intelligence dont vous avez besoin pour mener la guerre contre les cryptomineurs. »
«Ensuite, les défenseurs doivent vérifier que toutes les machines accessibles fonctionnent avec des systèmes d'exploitation à jour et des informations d'identification solides», ajoute-t-il.
Des escrocs opportunistes exploitent le COVID-19
Ces dernières semaines, les chercheurs en cybersécurité ont a sonné l'alarme concernant une prolifération rapide des escroqueries visant à exploiter les craintes des coronavirus.
La semaine dernière, les régulateurs des comtés du Royaume-Uni averti que les escrocs usurpent l'identité du Center for Disease Control and Prevention et de l'Organisation mondiale de la santé pour rediriger les victimes vers des liens malveillants ou pour recevoir frauduleusement des dons en Bitcoin (BTC).
Début mars, une attaque de verrouillage d'écran circulant sous le couvert de l'installation d'une carte thermique de suivi de la propagation du coronavirus appelée 'CovidLock»a été identifié.
Source: https://cointelegraph.com/news/sophicated-mining-botnet-identified-after-2-years