Cybersikkerhetsfirma, Guardicore Labs, avslørte identifiseringen av et ondsinnet kryptogruve-botnett som har vært i drift i nesten to år 1. april.
Trusselskuespilleren, kalt 'Vollgar' basert på utvinningen av den lite kjente altcoinen, Vollar (VSD), retter seg mot Windows-maskiner som kjører MS-SQL-servere - hvorav Guardicore anslår at det bare finnes 500,000 XNUMX over hele verden.
Til tross for deres knapphet, tilbyr MS-SQL-servere betydelig prosessorkraft i tillegg til å vanligvis lagre verdifull informasjon som brukernavn, passord og kredittkortdetaljer.
Sofistikert crypto-mining malware nettverk identifisert
Når en server er infisert, "dreper Vollgar flittig og grundig andre trusselaktørers prosesser," før han distribuerer flere bakdører, fjerntilgangsverktøy (RAT-er) og kryptogruvearbeidere.
60 % ble bare infisert av Vollgar i en kort periode, mens omtrent 20 % forble smittet i opptil flere uker. 10 % av ofrene ble funnet å ha blitt smittet på nytt av angrepet. Vollgar-angrep har sin opprinnelse fra mer enn 120 IP-adresser, hvorav de fleste er lokalisert i Kina. Guardicore forventer at de fleste adressene tilsvarer kompromitterte maskiner som brukes til å infisere nye ofre.
Guidicore legger en del av skylden på korrupte hostingselskaper som lukker øynene for trusselaktører som bor på serverne deres, og sier:
"Dessverre er uvitende eller uaktsomme registrarer og hostingselskaper en del av problemet, ettersom de lar angripere bruke IP-adresser og domenenavn til å være vert for hele infrastrukturer. Hvis disse leverandørene fortsetter å se den andre veien, vil masseangrep fortsette å blomstre og operere under radaren i lange perioder.»
Vollgar gruver eller to kryptoaktiva
Guardicore cybersecurity-forsker, Ophir Harpaz, fortalte Cointelegraph at Vollgar har mange kvaliteter som skiller den fra de fleste kryptojacking-angrep.
"For det første utvinner den mer enn én kryptovaluta - Monero og alt-mynten VSD (Vollar). I tillegg bruker Vollgar et privat basseng for å orkestrere hele botnettet for gruvedrift. Dette er noe bare en angriper med et veldig stort botnett vil vurdere å gjøre.»
Harpaz bemerker også at i motsetning til de fleste gruvevareprogrammer, søker Vollgar å etablere flere potensielle inntektskilder ved å distribuere flere RAT-er på toppen av de ondsinnede kryptogruvearbeiderne. "Slik tilgang kan enkelt oversettes til penger på det mørke nettet," legger han til.
Vollgar driver i nesten to år
Mens forskeren ikke spesifiserte når Guardicore først identifiserte Vollgar, uttaler han at en økning i botnettets aktivitet i desember 2019 førte til at firmaet undersøkte skadevaren nærmere.
"En grundig undersøkelse av dette botnettet avslørte at det første registrerte angrepet dateres tilbake til mai 2018, som summerer opp til nesten to års aktivitet," sa Harpaz.
Beste praksis for cybersikkerhet
For å forhindre infeksjon fra Vollgar og andre kryptogruveangrep, oppfordrer Harpaz organisasjoner til å søke etter blindsoner i systemene deres.
«Jeg vil anbefale å starte med å samle nettflytdata og få full oversikt over hvilke deler av datasenteret som er eksponert for internett. Du kan ikke gå inn i en krig uten etterretning; kartlegging av all innkommende trafikk til datasenteret ditt er intelligensen du trenger for å kjempe mot cryptominers.»
"Deretter bør forsvarere verifisere at alle tilgjengelige maskiner kjører med oppdaterte operativsystemer og sterk legitimasjon," legger han til.
Opportunistiske svindlere utnytter COVID-19
De siste ukene har cybersikkerhetsforskere lød alarmen angående en rask spredning av svindel som søker å utnytte frykten for koronavirus.
Forrige uke, britiske fylkesregulatorer advarte at svindlere utgir seg for Senter for sykdomskontroll og forebygging og Verdens helseorganisasjon for å omdirigere ofre til ondsinnede koblinger eller for å motta donasjoner som Bitcoin (BTC).
I begynnelsen av mars sirkulerte et skjermlåsangrep under dekke av å installere et termisk kart som sporer spredningen av koronaviruset kalt 'CovidLock' ble identifisert.
Kilde: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years