Perusahaan keamanan siber, Laboratorium Guardicore, mengungkapkan identifikasi botnet penambangan kripto berbahaya yang telah beroperasi selama hampir dua tahun pada 1 April.
Aktor ancaman, dijuluki 'Volgar' berdasarkan penambangan altcoin yang kurang dikenal, Vollar (VSD), menargetkan mesin Windows yang menjalankan server MS-SQL — yang menurut perkiraan Guardicore hanya ada 500,000 di seluruh dunia.
Namun, terlepas dari kelangkaannya, server MS-SQL menawarkan kekuatan pemrosesan yang cukup besar selain biasanya menyimpan informasi berharga seperti nama pengguna, kata sandi, dan detail kartu kredit.
Jaringan malware penambangan kripto yang canggih diidentifikasi
Setelah server terinfeksi, Vollgar “dengan rajin dan menyeluruh membunuh proses aktor ancaman lainnya”, sebelum menyebarkan beberapa pintu belakang, alat akses jarak jauh (RAT), dan penambang kripto.
60% hanya terinfeksi oleh Vollgar untuk waktu yang singkat, sementara sekitar 20% tetap terinfeksi hingga beberapa minggu. 10% dari korban ditemukan telah terinfeksi kembali oleh serangan tersebut. Serangan Vollgar berasal dari lebih dari 120 alamat IP, yang sebagian besar berlokasi di China. Guardicore mengharapkan sebagian besar alamat yang terkait dengan mesin yang disusupi yang digunakan untuk menginfeksi korban baru.
Guidicore menyalahkan perusahaan hosting korup yang menutup mata terhadap aktor ancaman yang menghuni server mereka, dengan menyatakan:
“Sayangnya, pendaftar dan perusahaan hosting yang lalai atau lalai adalah bagian dari masalah, karena mereka mengizinkan penyerang menggunakan alamat IP dan nama domain untuk menghosting seluruh infrastruktur. Jika penyedia ini terus melihat ke arah lain, serangan skala besar akan terus berkembang dan beroperasi di bawah radar untuk jangka waktu yang lama.”
Tambang Vollgar atau dua aset kripto
Peneliti keamanan siber Guardicore, Ophir Harpaz, mengatakan kepada Cointelegraph bahwa Vollgar memiliki banyak kualitas yang membedakannya dari kebanyakan serangan cryptojacking.
“Pertama, ia menambang lebih dari satu cryptocurrency – Monero dan alt-coin VSD (Vollar). Selain itu, Vollgar menggunakan kolam pribadi untuk mengatur seluruh botnet penambangan. Ini adalah sesuatu yang hanya akan dipertimbangkan oleh penyerang dengan botnet yang sangat besar.”
Harpaz juga mencatat bahwa tidak seperti kebanyakan malware penambangan, Vollgar berupaya membangun berbagai sumber pendapatan potensial dengan menyebarkan beberapa RAT di atas penambang kripto yang berbahaya. “Akses seperti itu dapat dengan mudah diterjemahkan menjadi uang di web gelap,” tambahnya.
Vollgar beroperasi selama hampir dua tahun
Meskipun peneliti tidak merinci kapan Guardicore pertama kali mengidentifikasi Vollgar, ia menyatakan bahwa peningkatan aktivitas botnet pada Desember 2019 membuat perusahaan untuk memeriksa malware lebih dekat.
“Penyelidikan mendalam terhadap botnet ini mengungkapkan bahwa serangan pertama yang tercatat terjadi pada Mei 2018, yang meringkas aktivitas selama hampir dua tahun,” kata Harpaz.
Praktik terbaik cybersecurity
Untuk mencegah infeksi dari Vollgar dan serangan penambangan kripto lainnya, Harpaz mendesak organisasi untuk mencari titik buta di sistem mereka.
“Saya akan merekomendasikan memulai dengan mengumpulkan data netflow dan mendapatkan tampilan penuh ke bagian mana dari pusat data yang terpapar ke internet. Anda tidak dapat memasuki perang tanpa kecerdasan; memetakan semua lalu lintas masuk ke pusat data Anda adalah kecerdasan yang Anda butuhkan untuk berperang melawan para penambang kripto.”
“Selanjutnya, para pembela HAM harus memverifikasi bahwa semua mesin yang dapat diakses berjalan dengan sistem operasi terkini dan kredensial yang kuat,” tambahnya.
Penipu oportunistik memanfaatkan COVID-19
Dalam beberapa minggu terakhir, para peneliti keamanan siber telah membunyikan alarm tentang proliferasi cepat dalam penipuan yang berusaha memanfaatkan ketakutan akan virus corona.
Pekan lalu, regulator wilayah Inggris memperingatkan bahwa scammer menyamar sebagai Pusat Pengendalian dan Pencegahan Penyakit dan Organisasi Kesehatan Dunia untuk mengarahkan korban ke tautan jahat atau untuk secara curang menerima sumbangan sebagai Bitcoin (BTC).
Pada awal Maret, serangan kunci layar beredar dengan kedok pemasangan peta termal yang melacak penyebaran virus corona yang disebut 'kunci covid' diidentifikasi.
Sumber: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years