Firma zajmująca się cyberbezpieczeństwem, Laboratoria Guardicore, ujawnił identyfikację złośliwego botnetu krypto-wydobywczego, który działa od prawie dwóch lat 1 kwietnia.
Aktor zagrożenia, nazwany „Volgar„w oparciu o wydobycie mało znanego altcoina, Vollar (VSD), atakuje maszyny Windows z serwerami MS-SQL - z których Guardicore szacuje, że istnieje tylko 500,000 XNUMX na całym świecie.
Jednak pomimo ich niedoboru serwery MS-SQL oferują znaczną moc obliczeniową, oprócz typowego przechowywania cennych informacji, takich jak nazwy użytkowników, hasła i dane karty kredytowej.
Zidentyfikowano wyrafinowaną sieć złośliwego oprogramowania do wydobywania kryptowalut
Po zainfekowaniu serwera Vollgar „pilnie i dokładnie zabija procesy innych podmiotów stanowiących zagrożenie” przed wdrożeniem wielu backdoorów, narzędzi dostępu zdalnego (RAT) i górników kryptograficznych.
60% zostało zarażonych przez Vollgar tylko przez krótki czas, podczas gdy około 20% pozostało zarażonych przez kilka tygodni. 10% ofiar zostało ponownie zainfekowanych przez atak. Ataki Vollgar pochodzą z ponad 120 adresów IP, z których większość znajduje się w Chinach. Guardicore oczekuje, że większość adresów odpowiadających zaatakowanym komputerom wykorzystywanym jest do infekowania nowych ofiar.
Guidicore ponosi część winy ze strony skorumpowanych firm hostingowych, które przymykają oczy na groźnych graczy zamieszkujących ich serwery, stwierdzając:
„Niestety nieświadomi lub zaniedbani rejestratorzy i firmy hostingowe stanowią część problemu, ponieważ pozwalają atakującym na używanie adresów IP i nazw domen do hostowania całej infrastruktury. Jeśli ci dostawcy nadal będą patrzeć w drugą stronę, ataki na masową skalę będą nadal prosperować i działać pod radarem przez długi czas. ”
Kopalnie Vollgar lub dwa aktywa kryptograficzne
Badacz cyberbezpieczeństwa Guardicore, Ophir Harpaz, powiedział Cointelegraph, że Vollgar ma wiele cech odróżniających go od większości ataków kryptograficznych.
„Po pierwsze, wydobywa więcej niż jedną kryptowalutę – Monero i alternatywną monetę VSD (Vollar). Dodatkowo Vollgar korzysta z prywatnej puli do zorganizowania całego botnetu wydobywczego. Jest to coś, co rozważyłby tylko atakujący z bardzo dużym botnetem”.
Harpaz zauważa również, że w przeciwieństwie do większości szkodliwych programów wydobywczych, Vollgar dąży do ustanowienia wielu źródeł potencjalnych dochodów poprzez wdrożenie wielu RAT na szkodliwych kopalniach kryptograficznych. „Taki dostęp można łatwo przełożyć na pieniądze w ciemnej sieci” - dodaje.
Vollgar działa od prawie dwóch lat
Chociaż badacz nie określił, kiedy Guardicore po raz pierwszy zidentyfikował Vollgara, twierdzi, że wzrost aktywności botnetu w grudniu 2019 r. Skłonił firmę do dokładniejszego zbadania złośliwego oprogramowania.
„Dogłębne badanie tego botnetu ujawniło, że pierwszy zarejestrowany atak miał miejsce w maju 2018 r., Co stanowi prawie dwa lata działalności” - powiedział Harpaz.
Najlepsze praktyki w zakresie cyberbezpieczeństwa
Aby zapobiec infekcji Vollgar i innym atakom na krypto-kopanie, Harpaz zachęca organizacje do wyszukiwania martwych punktów w swoich systemach.
„Poleciłbym zacząć od gromadzenia danych o przepływie sieci i uzyskania pełnego obrazu tego, które części centrum danych są narażone na działanie Internetu. Nie możesz rozpocząć wojny bez inteligencji; mapowanie całego ruchu przychodzącego do centrum danych to inteligencja, której potrzebujesz, aby stoczyć wojnę z kryptomorami. ”
„Następnie obrońcy powinni sprawdzić, czy wszystkie dostępne maszyny działają z aktualnymi systemami operacyjnymi i silnymi danymi uwierzytelniającymi” - dodaje.
Oszuści oportunistyczni wykorzystują COVID-19
W ostatnich tygodniach badacze cyberbezpieczeństwa tak zrobili zabrzmiał alarm dotyczące szybkiego rozprzestrzeniania się oszustw mających na celu zwiększenie obaw związanych z koronawirusem.
W ubiegłym tygodniu brytyjscy regulatorzy hrabstw ostrzeżony że oszuści podszywają się pod Centrum Kontroli i Zapobiegania Chorobom oraz Światową Organizację Zdrowia, aby przekierowywać ofiary na złośliwe linki lub oszukańczo otrzymywać darowizny jako Bitcoin (BTC).
Na początku marca atak blokadą ekranu krąży pod pozorem zainstalowania mapy termicznej śledzącej rozprzestrzenianie się koronawirusa o nazwie „CovidLockzostał zidentyfikowany.
Źródło: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years