Empresa de segurança cibernética, Laboratórios Guardicore, revelou a identificação de uma botnet maliciosa de mineração de criptografia que opera há quase dois anos em 1º de abril.
O ator da ameaça, apelidado de 'Volgar', com base na mineração do pouco conhecido altcoin, Vollar (VSD), tem como alvo máquinas Windows executando servidores MS-SQL - dos quais a Guardicore estima que existam apenas 500,000 em todo o mundo.
No entanto, apesar de sua escassez, os servidores MS-SQL oferecem um poder de processamento considerável, além de normalmente armazenar informações valiosas, como nomes de usuário, senhas e detalhes de cartão de crédito.
Rede sofisticada de malware de mineração de criptografia identificada
Depois que um servidor é infectado, o Vollgar "diligentemente e exaustivamente mata os processos de outros agentes de ameaças", antes de implantar várias backdoors, ferramentas de acesso remoto (RATs) e mineradoras de criptografia.
60% foram infectados apenas por Vollgar por um período curto, enquanto aproximadamente 20% permaneceram infectados por várias semanas. 10% das vítimas foram infectadas pelo ataque. Os ataques Vollgar foram originados em mais de 120 endereços IP, a maioria dos quais localizados na China. O Guardicore espera a maioria dos endereços correspondentes a máquinas comprometidas que estão sendo usadas para infectar novas vítimas.
A Guidicore atribui parte da culpa a empresas de hospedagem corruptas que ignoram os atores que ameaçam seus servidores, afirmando:
“Infelizmente, registradores e empresas de hospedagem alheios ou negligentes fazem parte do problema, pois permitem que os atacantes usem endereços IP e nomes de domínio para hospedar infraestruturas inteiras. Se esses fornecedores continuarem a olhar para o outro lado, os ataques em larga escala continuarão prosperando e operando sob o radar por longos períodos de tempo. ”
Minas Vollgar ou dois ativos de criptografia
Ophir Harpaz, pesquisador da Guardicore em segurança cibernética, disse ao Cointelegraph que Vollgar tem inúmeras qualidades que o diferenciam da maioria dos ataques de cryptojacking.
“Primeiro, ele extrai mais de uma criptomoeda - Monero e a moeda alternativa VSD (Vollar). Além disso, Vollgar usa um pool privado para orquestrar todo o botnet de mineração. Isso é algo que apenas um invasor com um botnet muito grande consideraria fazer. ”
Harpaz também observa que, diferentemente da maioria dos malwares de mineração, o Vollgar procura estabelecer várias fontes de receita potencial implantando vários RATs sobre os mineradores de criptografia maliciosos. "Esse acesso pode ser facilmente traduzido em dinheiro na dark web", acrescenta ele.
Vollgar opera por quase dois anos
Embora o pesquisador não tenha especificado quando o Guardicore identificou Vollgar pela primeira vez, ele afirma que um aumento na atividade da botnet em dezembro de 2019 levou a empresa a examinar o malware mais de perto.
"Uma investigação aprofundada desse botnet revelou que o primeiro ataque registrado ocorreu em maio de 2018, o que equivale a quase dois anos de atividade", disse Harpaz.
Práticas recomendadas de segurança cibernética
Para evitar a infecção por Vollgar e outros ataques de mineração de criptografia, a Harpaz pede às organizações que procurem pontos cegos em seus sistemas.
“Eu recomendaria começar com a coleta de dados do netflow e obter uma visão completa de quais partes do data center estão expostas à internet. Você não pode entrar em uma guerra sem inteligência; o mapeamento de todo o tráfego de entrada para o seu data center é a inteligência necessária para combater a guerra contra os cryptominers. ”
"Em seguida, os defensores devem verificar se todas as máquinas acessíveis estão funcionando com sistemas operacionais atualizados e credenciais fortes", acrescenta.
Os golpistas oportunistas aproveitam o COVID-19
Nas últimas semanas, pesquisadores de segurança cibernética soou o alarme sobre uma rápida proliferação de golpes que buscam alavancar os medos de coronavírus.
Na semana passada, os reguladores do condado do Reino Unido advertido que os golpistas representavam o Centro de Controle e Prevenção de Doenças e a Organização Mundial da Saúde para redirecionar as vítimas para links maliciosos ou para receber doações fraudulentas como Bitcoin (BTC).
No início de março, um ataque de bloqueio de tela circulando sob o pretexto de instalar um mapa térmico que rastreia a propagação do coronavírus chamado 'CovidLockfoi identificado.
Fonte: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years