Firma de securitate cibernetică, Laboratoare Guardicore, a dezvăluit identificarea unei rețele botnice de cripto-minerit care funcționează de aproape doi ani pe 1 aprilie.
Actorul amenințării, supranumit „Vollgar„pe baza exploatării altcoin-ului puțin cunoscut, Vollar (VSD), vizează mașinile Windows care rulează servere MS-SQL - dintre care Guardicore estimează că există doar 500,000 în întreaga lume.
Cu toate acestea, în ciuda deficitului lor, serverele MS-SQL oferă o putere de procesare considerabilă, pe lângă stocarea de obicei a informațiilor valoroase, cum ar fi numele de utilizator, parolele și detaliile cardului de credit.
S-a identificat o rețea malware sofisticată de cripto-minerit
Odată ce un server este infectat, Vollgar „ucide cu sârguință și temeinic procesele altor actori de amenințare”, înainte de a implementa mai multe portiere din spate, instrumente de acces la distanță (RAT) și mineri de criptare.
60% au fost infectați de Vollgar doar pentru o perioadă scurtă de timp, în timp ce aproximativ 20% au rămas infectați până la câteva săptămâni. 10% dintre victime s-au dovedit a fi reinfectate de atac. Atacurile Vollgar au provenit din mai mult de 120 de adrese IP, dintre care cele mai multe se află în China. Guardicore se așteaptă ca majoritatea adreselor să corespundă mașinilor compromise care sunt utilizate pentru a infecta noi victime.
Guidicore dă o parte din vina companiilor de găzduire corupte care închid ochii asupra amenințării actorilor care își locuiesc serverele, afirmând:
„Din păcate, înregistrările și companiile de găzduire ignorate sau neglijente sunt o parte a problemei, deoarece permit atacatorilor să folosească adrese IP și nume de domeniu pentru a găzdui infrastructuri întregi. Dacă acești furnizori continuă să arate în alt mod, atacurile la scară largă vor continua să prospere și să funcționeze sub radar pentru perioade lungi de timp. "
Minele Vollgar sau două active criptografice
Ophir Harpaz, cercetător în domeniul securității cibernetice Guardicore, a declarat pentru Cointelegraph că Vollgar are numeroase calități care îl diferențiază de majoritatea atacurilor de criptojacking.
„În primul rând, exploatează mai multe criptomonede - Monero și alt-coin VSD (Vollar). În plus, Vollgar folosește o piscină privată pentru a orchestra întreaga botnet minieră. Acest lucru ar fi făcut doar de un atacator cu o rețea botnet foarte mare. ”
Harpaz observă, de asemenea, că, spre deosebire de majoritatea programelor malware miniere, Vollgar încearcă să stabilească mai multe surse de venituri potențiale prin implementarea mai multor RAT-uri pe lângă minerii de cripto-malware. „Un astfel de acces poate fi tradus cu ușurință în bani pe dark web”, adaugă el.
Vollgar funcționează timp de aproape doi ani
În timp ce cercetătorul nu a specificat când Guardicore l-a identificat pentru prima dată pe Vollgar, el afirmă că o creștere a activității botnetului în decembrie 2019 a condus firma să examineze mai atent malware-ul.
„O investigație aprofundată a acestui botnet a arătat că primul atac înregistrat datează din mai 2018, care însumează aproape doi ani de activitate”, a spus Harpaz.
Cele mai bune practici de securitate cibernetică
Pentru a preveni infecția cu Vollgar și alte atacuri de minare criptografică, Harpaz îndeamnă organizațiile să caute puncte oarbe în sistemele lor.
„Aș recomanda să începeți cu colectarea datelor de flux net și să obțineți o vizualizare completă a părților din centrul de date care sunt expuse internetului. Nu puteți intra într-un război fără informații; cartografierea întregului trafic primit la centrul dvs. de date este informația de care aveți nevoie pentru a lupta împotriva războiului împotriva criptominilor. ”
„Apoi, apărătorii ar trebui să verifice dacă toate mașinile accesibile rulează cu sisteme de operare actualizate și acreditări solide”, adaugă el.
Escrocii oportunisti valorifică COVID-19
În ultimele săptămâni, cercetătorii în domeniul securității cibernetice au făcut-o a sunat alarma în ceea ce privește o proliferare rapidă a escrocheriilor care încearcă să valorifice temerile coronavirusului.
Săptămâna trecută, autoritățile de reglementare din județul Regatului Unit a avertizat că escrocii imitau Centrul pentru Controlul și Prevenirea Bolilor și Organizația Mondială a Sănătății pentru a redirecționa victimele către legături rău intenționate sau pentru a primi donații în mod fraudulos sub formă de Bitcoin (BTC).
La începutul lunii martie, un atac de blocare a ecranului care circula sub masca instalării unei hărți termice care urmărește răspândirea coronavirusului numită „CovidLock'a fost identificat.
Sursa: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years