חברת סייבר סייבר, מעבדות Guardicore, חשפה את זיהוי בוטנט-כריית כריית קריפטו זדונית שפועלת כמעט שנתיים ב -1 באפריל.
שחקן האיום, שכונה 'וולגרבהתבסס על כריית אלטקוין הידועה מעט, Vollar (VSD), מכוונת למכונות חלונות שמפעילות שרתי MS-SQL - מתוכם מעריכה גרדיקור כי ישנם 500,000 בלבד בעולם.
עם זאת, על אף המחסור שלהם, שרתי MS-SQL מציעים עיבוד רב-מידה בנוסף לאחסון בדרך כלל מידע חשוב כמו שמות משתמש, סיסמאות ופרטי כרטיסי אשראי.
זוהה רשת תוכנות זדוניות מתוצרת כריית קריפטו מתוחכמת
ברגע ששרת נגוע, וולגאר "הורג בחריצות וביסודיות תהליכים של שחקני איום אחרים", לפני פריסת דלתות אחוריות מרובות, כלי גישה מרחוק (RATS) וכורים crypto.
60% נדבקו רק על ידי וולגאר למשך זמן קצר, בעוד שבערך 20% נותרו נגועים עד מספר שבועות. 10% מהקורבנות התגלה כי הושפעו מחדש מהתקיפה. התקפות וולגאר מקורן בלמעלה מ -120 כתובות IP, שרובן נמצאות בסין. Guardicore צופה כי מרבית הכתובות התואמות מכונות נפגעות המשמשות כדי להדביק קורבנות חדשים.
חברת Guidicore מטילה חלק מהאשמה בחברות אירוח מושחתות שמפקחות עין על שחקני איום המאכלסים את השרתים שלהן, וקובעות:
"למרבה הצער, רושמים מתעלמים או רשלניים וחברות אירוח הם חלק מהבעיה, מכיוון שהם מאפשרים לתוקפים להשתמש בכתובות IP ובשמות תחום לארח תשתיות שלמות. אם ספקים אלה ימשיכו להסתכל לכיוון השני, התקפות בהיקף המוני ימשיכו לשגשג ולפעול מתחת לרדאר לפרקי זמן ארוכים. "
מכרות וולגר או שני נכסי קריפטו
חוקר אבטחת הסייבר של Guardicore, אופיר הרפז, אמר לקוינטלגרף כי לווולגאר יש איכויות רבות המבדילות אותו ממרבית התקפות הג'יפו-ג'וקטינג.
"ראשית, הוא מכרות יותר ממטבע cryptocurrency אחד - מונרו ומטבע ה- alt-VSD (Vollar). בנוסף, וולגר משתמש בבריכה פרטית לתזמור כל בוטנט הכרייה. זה דבר שרק תוקף עם botnet גדול מאוד ישקול לעשות. "
הרפז מציין גם כי בשונה מרוב התוכנות הזקוקות לכרייה, וולגאר מבקש להקים מספר מקורות להכנסות פוטנציאליות על ידי פריסת ריבוי דרגות על גבי כורי הקריפטו הזדוניים. "גישה כזו ניתנת לתרגום בקלות לכסף באינטרנט האפל," הוא מוסיף.
וולגר פועלת כמעט שנתיים
בעוד שהחוקר לא ציין מתי Guardicore זיהה לראשונה את וולגר, הוא קובע כי עלייה בפעילות הבוטנט בדצמבר 2019 הביאה את המשרד לבחון מקרוב את התוכנה הזדונית.
"מחקירה מעמיקה של בוטנט זו עולה כי המתקפה הראשונה שהוקלטה חזרה למאי 2018, שמסכמת כמעט שנתיים של פעילות", אמרה הרפז.
שיטות מומלצות בנושא אבטחת סייבר
כדי למנוע זיהום מוולגאר והתקפות כריית קריפטו אחרות, הרפז קורא לארגונים לחפש כתמים עיוורים במערכות שלהם.
"הייתי ממליץ להתחיל עם איסוף נתוני זרימת רשת ולקבל מבט מלא על אילו חלקים במרכז הנתונים נחשפים לאינטרנט. אינך יכול לצאת למלחמה ללא מודיעין; מיפוי כל התעבורה הנכנסת למרכז הנתונים שלך הוא האינטליגנציה הדרושה לך בכדי להילחם במלחמה נגד קריפטומינרים. "
"בשלב הבא, על המגנים לוודא שכל המכונות הנגישות פועלות עם מערכות הפעלה עדכניות ותעודות חזקות", הוא מוסיף.
רמאים אופורטוניסטיים ממנפים את COVID-19
חוקרים בנושא אבטחת סייבר חושבים כי בשבועות האחרונים נשמע האזעקה לגבי התפשטות מהירה בהונאות המבקשות למנף את הפחדים מוירוס קורונה.
בשבוע שעבר, רגולטורים מחוזיים בבריטניה מוזהר כי הרמאים התחזו למרכז לבקרת מחלות ולמניעת מחלות וארגון הבריאות העולמי להפנות את הקורבנות לקישורים זדוניים או לקבלת תרומות בתור ביטקוין (BTC).
בתחילת מרץ, התקפת נעילת מסך הסתובבה במסווה של התקנת מפה תרמית העוקבת אחר התפשטות נגיף הקורונה בשם 'קובידלוקזוהה.
מקור: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years