Фирма по кибербезопасности, Лаборатории Гуардикорраскрыл идентификацию вредоносного ботнет-крипто-майнинга, который работал почти два года 1 апреля.
Актер угрозы, дублированныйВоллгар«Основываясь на добыче малоизвестного альткойна Vollar (VSD), он ориентирован на компьютеры под управлением Windows, на которых работают серверы MS-SQL, и, по оценкам Guardicore, в мире существует всего 500,000 XNUMX таких компьютеров.
Однако, несмотря на их нехватку, серверы MS-SQL предлагают значительную вычислительную мощность в дополнение к обычному хранению ценной информации, такой как имена пользователей, пароли и данные кредитной карты.
Выявлена сложная крипто-майнинг сеть вредоносных программ
После заражения сервера Vollgar «усердно и тщательно убивает процессы других участников угроз», прежде чем развертывать несколько бэкдоров, средства удаленного доступа (RAT) и крипто-майнеры.
60% были инфицированы только Vollgar в течение короткого периода времени, в то время как примерно 20% оставались инфицированными в течение нескольких недель. Было установлено, что 10% жертв были заражены в результате нападения. Атаки Vollgar произошли с более чем 120 IP-адресов, большинство из которых расположены в Китае. Guardicore ожидает, что большинство адресов соответствуют взломанным машинам, которые используются для заражения новых жертв.
Guidicore возлагает вину на коррумпированные хостинговые компании, которые закрывают глаза на тех, кто занимается угрозами, населяющих их серверы, заявляя:
«К сожалению, неосведомленные или небрежные регистраторы и хостинговые компании являются частью проблемы, поскольку они позволяют злоумышленникам использовать IP-адреса и доменные имена для размещения целых инфраструктур. Если эти провайдеры будут продолжать смотреть в другую сторону, массовые атаки продолжат процветать и будут действовать под радаром в течение длительных периодов времени ».
Vollgar мины или два крипто актива
Исследователь Guardicore по кибербезопасности, Офир Харпаз, сказал Cointelegraph, что Vollgar обладает множеством качеств, отличающих его от большинства криптографических атак.
«Во-первых, он добывает более одной криптовалюты - Monero и альтернативную монету VSD (Vollar). Кроме того, Vollgar использует частный пул для управления всем ботнетом для майнинга. Это то, что может рассмотреть только злоумышленник с очень большим ботнетом ».
Harpaz также отмечает, что, в отличие от большинства вредоносных программ, Vollgar стремится создать несколько источников потенциального дохода путем развертывания нескольких RAT поверх вредоносных крипто-майнеров. «Такой доступ можно легко перевести на деньги в темной сети», - добавляет он.
Vollgar работает почти два года
Хотя исследователь не уточнил, когда Guardicore впервые идентифицировал Vollgar, он утверждает, что увеличение активности ботнета в декабре 2019 года заставило фирму более тщательно изучить вредоносное ПО.
«Углубленное расследование этого ботнета показало, что первая зарегистрированная атака относится к маю 2018 года, который насчитывает почти два года активности», - сказал Харпаз.
Лучшие практики кибербезопасности
Чтобы предотвратить заражение от Vollgar и других атак крипто-майнинга, Harpaz призывает организации искать слепые зоны в своих системах.
«Я бы порекомендовал начать со сбора данных netflow и получить полное представление о том, какие части центра обработки данных доступны в Интернете. Вы не можете вступить в войну без разума; Отображение всего входящего трафика в ваш дата-центр - это то, что вам нужно для борьбы с криптоминерами ».
«Затем защитники должны убедиться, что все доступные машины работают с современными операционными системами и надежными учетными данными», - добавляет он.
Оппортунистические мошенники используют рычаг COVID-19
В последние недели исследователи кибербезопасности прозвучал сигнал тревоги относительно быстрого распространения в мошенниках, пытающихся использовать страхи коронавируса.
На прошлой неделе регуляторы округа Великобритании предупреждал что мошенники выдавали себя за Центр по контролю и профилактике заболеваний и Всемирную организацию здравоохранения, чтобы перенаправлять жертв на вредоносные ссылки или обманным путем получать пожертвования в виде биткойнов (BTC).
В начале марта была распространена атака с блокировкой экрана под видом установки тепловой карты, отслеживающей распространение коронавируса под названием «КовидЛокбыл идентифицирован.
Источник: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years