Azienda di sicurezza informatica, Laboratori Guardicore, ha rivelato l'identificazione di una botnet di cripto-mining dannosa che è in funzione da quasi due anni il 1 ° aprile.
L'attore della minaccia, soprannominato 'Volgar'basato sull'estrazione del poco noto altcoin, Vollar (VSD), prende di mira le macchine Windows che eseguono server MS-SQL, di cui Guardicore stima che esistano solo 500,000 in tutto il mondo.
Tuttavia, nonostante la loro scarsità, i server MS-SQL offrono una notevole potenza di elaborazione oltre a memorizzare in genere informazioni preziose come nomi utente, password e dettagli della carta di credito.
Identificata rete di malware di cripto-mining sofisticata
Una volta che un server è stato infettato, Vollgar "uccide diligentemente e completamente i processi di altri attori della minaccia", prima di distribuire più backdoor, strumenti di accesso remoto (RAT) e minatori crittografici.
Il 60% è stato infettato da Vollgar solo per un breve periodo, mentre circa il 20% è rimasto infetto fino a diverse settimane. Il 10% delle vittime è risultato essere stato nuovamente infettato dall'attacco. Gli attacchi Vollgar hanno avuto origine da oltre 120 indirizzi IP, la maggior parte dei quali si trova in Cina. Guardicore prevede che la maggior parte degli indirizzi corrispondenti a macchine compromesse che vengono utilizzate per infettare nuove vittime.
Guidicore dà parte della colpa alle società di hosting corrotte che chiudono un occhio sugli attori delle minacce che abitano i loro server, affermando:
“Sfortunatamente, registrar e società di hosting negligenti o negligenti sono parte del problema, in quanto consentono agli aggressori di utilizzare indirizzi IP e nomi di dominio per ospitare intere infrastrutture. Se questi fornitori continuano a guardare dall'altra parte, gli attacchi su larga scala continueranno a prosperare e opereranno sotto il radar per lunghi periodi di tempo. "
Miniere di Vollgar o due risorse crittografiche
Il ricercatore di sicurezza informatica Guardicore, Ophir Harpaz, ha detto a Cointelegraph che Vollgar ha numerose qualità che lo differenziano dalla maggior parte degli attacchi di cryptojacking.
“In primo luogo, estrae più di una criptovaluta: Monero e la moneta alternativa VSD (Vollar). Inoltre, Vollgar utilizza un pool privato per orchestrare l'intera botnet di mining. Questo è qualcosa che solo un utente malintenzionato con una botnet molto grande prenderebbe in considerazione di fare ".
Harpaz osserva inoltre che, a differenza della maggior parte dei malware di mining, Vollgar cerca di stabilire più fonti di potenziali entrate distribuendo più RAT sui minatori crittografici dannosi. "Tale accesso può essere facilmente tradotto in denaro sul dark web", aggiunge.
Vollgar opera da quasi due anni
Sebbene il ricercatore non abbia specificato quando Guardicore ha identificato per la prima volta Vollgar, afferma che un aumento dell'attività della botnet nel dicembre 2019 ha portato l'azienda a esaminare il malware più da vicino.
"Un'indagine approfondita su questa botnet ha rivelato che il primo attacco registrato risale a maggio 2018, il che riassume quasi due anni di attività", ha affermato Harpaz.
Best practice per la sicurezza informatica
Per prevenire l'infezione da Vollgar e altri attacchi di crypto mining, Harpaz esorta le organizzazioni a cercare punti ciechi nei loro sistemi.
"Consiglierei di iniziare con la raccolta dei dati di netflow e ottenere una visione completa di quali parti del data center sono esposte a Internet. Non puoi entrare in una guerra senza intelligenza; mappare tutto il traffico in entrata al tuo data center è l'intelligenza di cui hai bisogno per combattere la guerra contro i cryptominer ".
"Successivamente, i difensori dovrebbero verificare che tutte le macchine accessibili siano in esecuzione con sistemi operativi aggiornati e credenziali solide", aggiunge.
I truffatori opportunisti sfruttano COVID-19
Nelle ultime settimane, i ricercatori sulla sicurezza informatica lo hanno fatto suonò l'allarme per quanto riguarda una rapida proliferazione di truffe che cercano di sfruttare le paure del coronavirus.
La scorsa settimana, le autorità di regolamentazione della contea del Regno Unito avvertito che i truffatori stavano impersonando il Centro per il controllo e la prevenzione delle malattie e l'Organizzazione mondiale della sanità per reindirizzare le vittime a collegamenti dannosi o per ricevere fraudolentemente donazioni come Bitcoin (BTC).
All'inizio di marzo circolava un attacco di blocco dello schermo con il pretesto di installare una mappa termica che tracciava la diffusione del coronavirus chiamato 'Blocco Covid'è stato identificato.
Fonte: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years