Cyberbeveiligingsbedrijf, Guardicore-labs, onthulde op 1 april de identificatie van een kwaadaardig crypto-mining-botnet dat al bijna twee jaar actief is.
De bedreigingsacteur, genaamd 'Volgar', gebaseerd op de mining van de weinig bekende altcoin, Vollar (VSD), richt zich op Windows-machines waarop MS-SQL-servers draaien - waarvan Guardicore schat dat er wereldwijd slechts 500,000 bestaan.
Ondanks hun schaarste bieden MS-SQL-servers echter aanzienlijke verwerkingskracht naast het doorgaans opslaan van waardevolle informatie zoals gebruikersnamen, wachtwoorden en creditcardgegevens.
Geavanceerd cryptomining-malwarenetwerk geïdentificeerd
Zodra een server is geïnfecteerd, doodt Vollgar 'de processen van andere bedreigingsactoren ijverig en grondig', voordat meerdere backdoors, tools voor externe toegang (RAT's) en cryptominers worden ingezet.
60% werd slechts korte tijd door Vollgar geïnfecteerd, terwijl ongeveer 20% enkele weken besmet bleef. 10% van de slachtoffers bleek opnieuw besmet te zijn door de aanval. Vollgar-aanvallen zijn afkomstig van meer dan 120 IP-adressen, waarvan de meeste zich in China bevinden. Guardicore verwacht dat de meeste adressen overeenkomen met gecompromitteerde machines die worden gebruikt om nieuwe slachtoffers te infecteren.
Guidicore legt een deel van de schuld bij corrupte hostingbedrijven die een oogje dichtknijpen voor bedreigingsactoren die hun servers bewonen, en stelt:
“Helaas zijn onwetende of nalatige registrars en hostingbedrijven onderdeel van het probleem, omdat ze aanvallers in staat stellen IP-adressen en domeinnamen te gebruiken om hele infrastructuren te hosten. Als deze aanbieders de andere kant op blijven kijken, zullen grootschalige aanvallen blijven bloeien en gedurende lange perioden onder de radar blijven opereren.”
Vollgar-mijnen of twee crypto-activa
Guardicore cybersecurity-onderzoeker, Ophir Harpaz, vertelde Cointelegraph dat Vollgar tal van kwaliteiten heeft die het onderscheiden van de meeste cryptojacking-aanvallen.
“Ten eerste ontgint het meer dan één cryptocurrency: Monero en de alt-coin VSD (Vollar). Bovendien gebruikt Vollgar een privépool om het volledige mijnbouwbotnet te orkestreren. Dit is iets dat alleen een aanvaller met een heel groot botnet zou overwegen.”
Harpaz merkt ook op dat Vollgar, in tegenstelling tot de meeste mining-malware, meerdere bronnen van potentiële inkomsten wil creëren door meerdere RAT's in te zetten bovenop de kwaadaardige cryptominers. “Dergelijke toegang kan eenvoudig worden omgezet in geld op het dark web”, voegt hij eraan toe.
Vollgar bestaat bijna twee jaar
Hoewel de onderzoeker niet specificeerde wanneer Guardicore Vollgar voor het eerst identificeerde, stelt hij dat een toename van de activiteit van het botnet in december 2019 het bedrijf ertoe bracht de malware nader te onderzoeken.
“Uit een diepgaand onderzoek van dit botnet bleek dat de eerste geregistreerde aanval dateerde van mei 2018, wat neerkomt op bijna twee jaar activiteit”, aldus Harpaz.
Best practices voor cyberbeveiliging
Om infectie door Vollgar en andere cryptomining-aanvallen te voorkomen, dringt Harpaz er bij organisaties op aan om naar blinde vlekken in hun systemen te zoeken.
“Ik zou aanraden om te beginnen met het verzamelen van netflow-gegevens en een volledig beeld te krijgen van welke delen van het datacenter zijn blootgesteld aan internet. Je kunt geen oorlog voeren zonder inlichtingen; Het in kaart brengen van al het binnenkomende verkeer naar uw datacenter is de intelligentie die u nodig hebt om de oorlog tegen cryptominers te voeren.”
“Vervolgens moeten verdedigers verifiëren dat alle toegankelijke machines draaien met up-to-date besturingssystemen en sterke inloggegevens”, voegt hij eraan toe.
Opportunistische oplichters maken misbruik van COVID-19
De afgelopen weken hebben cybersecurityonderzoekers dat gedaan klonk het alarm over een snelle toename van het aantal oplichtingspraktijken die proberen de angst voor het coronavirus te vergroten.
Vorige week hebben Britse provinciale toezichthouders waarschuwde dat oplichters zich voordeden als het Center for Disease Control and Prevention en de Wereldgezondheidsorganisatie om slachtoffers door te verwijzen naar kwaadaardige links of om op frauduleuze wijze donaties in de vorm van Bitcoin (BTC) te ontvangen.
Begin maart circuleerde een schermvergrendelingsaanval onder het mom van het installeren van een thermische kaart die de verspreiding van het coronavirus volgt, genaamd 'CovidLock' werd geïdentificeerd.
Bron: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years