Cybersecurity-företag, Guardicore Labs, avslöjade identifieringen av ett skadligt kryptobrytande botnet som har varit i drift i nästan två år den 1 april.
Hot-skådespelaren, dubbad "Vollgarbaserat på sin gruvdrift av den lite kända altcoin, Vollar (VSD), riktar sig till Windows-maskiner som kör MS-SQL-servrar - av vilka Guardicore uppskattar att det bara finns 500,000 XNUMX i världen.
Trots deras knapphet erbjuder emellertid MS-SQL-servrar betydande processorkraft utöver att de vanligtvis lagrar värdefull information som användarnamn, lösenord och kreditkortsuppgifter.
Sofistikerat krypteringsbrytande skadlig nätverk identifierat
När en server har infekterats, dödar Vollgar "omsorgsfullt och grundligt andra hotaktörers processer", innan de distribuerar flera bakdörrar, fjärråtkomstverktyg (RATs) och kryptodrivare.
60% smittades endast av Vollgar under en kort varaktighet, medan ungefär 20% förblev smittade i upp till flera veckor. 10% av offren befanns ha återinfekterats av attacken. Vollgarattacker har sitt ursprung från mer än 120 IP-adresser, varav de flesta finns i Kina. Guardicore räknar med att de flesta adresser motsvarar komprometterade maskiner som används för att smitta nya offer.
Guidicore lägger en del av skulden hos korrupta värdföretag som håller ett öga på hotspelare som bebor sina servrar och säger:
”Tyvärr är glömska eller vårdslösa registratorer och värdföretag en del av problemet, eftersom de tillåter angripare att använda IP-adresser och domännamn för att vara värd för hela infrastrukturer. Om dessa leverantörer fortsätter att titta åt andra hållet kommer massskaliga attacker att fortsätta blomstra och fungera under radaren under lång tid. ”
Vollgar gruvor eller två kryptotillgångar
Guardicore cybersecurity-forskare, Ophir Harpaz, berättade för Cointelegraph att Vollgar har många kvaliteter som skiljer det från de flesta krypteringsattacker.
”Först bryter det mer än en cryptocurrency - Monero och alt-mynt VSD (Vollar). Dessutom använder Vollgar en privat pool för att orkestrera hela gruvbottennätet. Detta är något som bara en angripare med ett mycket stort botnet skulle överväga att göra. ”
Harpaz konstaterar också att till skillnad från de flesta skadliga skadliga program försöker Vollgar upprätta flera källor för potentiella intäkter genom att distribuera flera RATS ovanpå de skadliga krypto gruvarbetarna. "Sådan tillgång kan lätt översättas till pengar på den mörka webben," tillägger han.
Vollgar verkar i nästan två år
Medan forskaren inte angav när Guardicore först identifierade Vollgar, säger han att en ökning av botnets aktivitet i december 2019 fick företaget att undersöka skadlig programvara närmare.
"En djupgående undersökning av detta botnät avslöjade att den första inspelade attacken daterades tillbaka till maj 2018, vilket uppgår till nästan två års verksamhet," sade Harpaz.
Bästa praxis för cybersäkerhet
För att förhindra infektion från Vollgar och andra kryptobrytningsattacker uppmanar Harpaz organisationer att söka efter blinda fläckar i sina system.
”Jag skulle rekommendera att man börjar med att samla in nätflödesdata och få en fullständig bild av vilka delar av datacentret som utsätts för internet. Du kan inte gå in i ett krig utan intelligens; kartlägga all inkommande trafik till ditt datacenter är den intelligens du behöver för att bekämpa kriget mot kryptominerare. "
"Därefter bör försvarare kontrollera att alla tillgängliga maskiner körs med uppdaterade operativsystem och starka referenser", tillägger han.
Opportunistiska bedragare utnyttjar COVID-19
De senaste veckorna har cybersecurity-forskare hörde larmet beträffande en snabb spridning i bedrägerier som försöker utnyttja rädsla för coronavirus.
Förra veckan, brittiska lagstiftare varnade att bedrägerier utökade sig för Center for Disease Control and Prevention och Världshälsoorganisationen för att omdirigera offren till skadliga länkar eller för att bedrägligt få donationer som Bitcoin (BTC).
I början av mars cirkulerade ett skärmlåsaangrepp under dräkten av att installera en termisk karta som spårar spridningen av coronavirus.CovidLock"identifierades.
Källa: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years