บริษัทรักษาความปลอดภัยทางไซเบอร์, กวาร์ดิคอร์แล็บส์เปิดเผยการระบุบอทเน็ตการขุด crypto ที่เป็นอันตรายซึ่งดำเนินการมาเกือบสองปีในวันที่ 1 เมษายน
ตัวแสดงภัยคุกคาม ขนานนามว่า 'โวลล์การ์' จากการขุดเหรียญ altcoin ที่ไม่ค่อยมีใครรู้จัก Vollar (VSD) ตั้งเป้าไปที่เครื่อง Windows ที่ใช้เซิร์ฟเวอร์ MS-SQL ซึ่ง Guardicore ประมาณการว่ามีอยู่ทั่วโลกเพียง 500,000 เครื่อง
อย่างไรก็ตาม แม้ว่าเซิร์ฟเวอร์ MS-SQL จะขาดแคลน แต่เซิร์ฟเวอร์ MS-SQL ก็มีพลังในการประมวลผลขนาดใหญ่ นอกเหนือจากการจัดเก็บข้อมูลที่มีค่าตามปกติ เช่น ชื่อผู้ใช้ รหัสผ่าน และรายละเอียดบัตรเครดิต
ระบุเครือข่ายมัลแวร์การทำเหมืองเข้ารหัสลับที่ซับซ้อน
เมื่อเซิร์ฟเวอร์ติดไวรัส Vollgar “ฆ่ากระบวนการของผู้คุกคามรายอื่นอย่างขยันขันแข็งและทั่วถึง” ก่อนที่จะปรับใช้แบ็คดอร์หลายตัว เครื่องมือการเข้าถึงระยะไกล (RAT) และนักขุดคริปโต
60% ติดเชื้อโดย Vollgar ในช่วงเวลาสั้น ๆ ในขณะที่ประมาณ 20% ยังคงติดเชื้อได้นานถึงหลายสัปดาห์ 10% ของเหยื่อถูกพบว่าติดเชื้อซ้ำจากการโจมตี การโจมตีของ Vollgar มีต้นกำเนิดมาจากที่อยู่ IP มากกว่า 120 แห่ง ซึ่งส่วนใหญ่ตั้งอยู่ในประเทศจีน Guardicore คาดว่าที่อยู่ส่วนใหญ่ที่เกี่ยวข้องกับเครื่องที่ถูกบุกรุกซึ่งถูกใช้เพื่อทำให้เหยื่อรายใหม่ติดเชื้อ
Guidicore วางส่วนหนึ่งของความผิดกับบริษัทโฮสติ้งที่ทุจริตซึ่งเมินต่อผู้คุกคามที่อาศัยอยู่เซิร์ฟเวอร์ของตนโดยระบุว่า:
“น่าเสียดายที่ผู้รับจดทะเบียนและบริษัทโฮสติ้งที่หลงลืมหรือประมาทเลินเล่อเป็นส่วนหนึ่งของปัญหา เนื่องจากพวกเขาอนุญาตให้ผู้โจมตีใช้ที่อยู่ IP และชื่อโดเมนเพื่อโฮสต์โครงสร้างพื้นฐานทั้งหมด หากผู้ให้บริการเหล่านี้ยังคงมองไปทางอื่น การโจมตีขนาดใหญ่จะยังคงรุ่งเรืองและดำเนินการภายใต้เรดาร์เป็นเวลานาน”
เหมืองโวลล์การ์หรือสินทรัพย์ดิจิทัล XNUMX แห่ง
Ophir Harpaz นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Guardicore บอกกับ Cointelegraph ว่า Vollgar มีคุณสมบัติมากมายที่แตกต่างจากการโจมตีด้วยการเข้ารหัสลับส่วนใหญ่
“อย่างแรกเลย มันขุดมากกว่าหนึ่ง cryptocurrency – Monero และ alt-coin VSD (Vollar) นอกจากนี้ Vollgar ยังใช้พูลส่วนตัวเพื่อควบคุมบ็อตเน็ตการขุดทั้งหมด นี่เป็นสิ่งที่มีเพียงผู้โจมตีที่มีบ็อตเน็ตขนาดใหญ่มากเท่านั้นที่จะพิจารณาทำ”
Harpaz ยังตั้งข้อสังเกตอีกว่า Vollgar พยายามที่จะสร้างแหล่งรายได้ที่เป็นไปได้จากแหล่งต่างๆ โดยปรับใช้ RAT หลายตัวบนตัวขุดคริปโตที่เป็นอันตราย “การเข้าถึงดังกล่าวสามารถแปลงเป็นเงินได้อย่างง่ายดายบนเว็บมืด” เขากล่าวเสริม
Vollgar ดำเนินการมาเกือบสองปีแล้ว
ในขณะที่นักวิจัยไม่ได้ระบุว่าเมื่อใดที่ Guardicore ระบุ Vollgar เป็นครั้งแรก เขากล่าวว่ากิจกรรมของ botnet ที่เพิ่มขึ้นในเดือนธันวาคม 2019 ทำให้บริษัทตรวจสอบมัลแวร์อย่างใกล้ชิดยิ่งขึ้น
“การตรวจสอบเชิงลึกของบ็อตเน็ตนี้เปิดเผยว่าการโจมตีครั้งแรกที่บันทึกไว้นั้นเกิดขึ้นตั้งแต่เดือนพฤษภาคม 2018 ซึ่งรวมกิจกรรมเกือบสองปี” Harpaz กล่าว
แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์
เพื่อป้องกันการติดเชื้อจาก Vollgar และการโจมตีเหมือง crypto อื่นๆ Harpaz ขอแนะนำให้องค์กรค้นหาจุดบอดในระบบของตน
“ผมขอแนะนำให้เริ่มต้นด้วยการรวบรวมข้อมูล netflow และดูข้อมูลทั้งหมดว่าส่วนใดของศูนย์ข้อมูลถูกเปิดเผยบนอินเทอร์เน็ต คุณไม่สามารถเข้าสู่สงครามโดยปราศจากสติปัญญา การทำแผนที่ทราฟฟิกที่เข้ามาทั้งหมดไปยังศูนย์ข้อมูลของคุณคือความชาญฉลาดที่คุณต้องใช้ในการต่อสู้กับผู้ขุดคริปโต”
“ต่อไป ผู้พิทักษ์ควรตรวจสอบว่าเครื่องที่เข้าถึงได้ทั้งหมดกำลังทำงานด้วยระบบปฏิบัติการที่ทันสมัยและข้อมูลประจำตัวที่แข็งแกร่ง” เขากล่าวเสริม
นักต้มตุ๋นฉวยโอกาสใช้ประโยชน์จาก COVID-19
ในช่วงไม่กี่สัปดาห์ที่ผ่านมา นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ ฟังเสียงปลุก เกี่ยวกับการแพร่กระจายอย่างรวดเร็วของกลโกงที่ต้องการยกระดับความกลัวของ coronavirus
สัปดาห์ที่แล้ว หน่วยงานกำกับดูแลมณฑลของสหราชอาณาจักร เตือน ที่นักต้มตุ๋นกำลังแอบอ้างเป็นศูนย์ควบคุมและป้องกันโรคและองค์การอนามัยโลกเพื่อเปลี่ยนเส้นทางเหยื่อไปยังลิงก์ที่เป็นอันตรายหรือเพื่อรับเงินบริจาคเป็น Bitcoin (BTC) อย่างฉ้อฉล
เมื่อต้นเดือนมีนาคม การโจมตีด้วยการล็อกหน้าจอที่หมุนเวียนภายใต้หน้ากากของการติดตั้งแผนที่ความร้อนเพื่อติดตามการแพร่กระจายของ coronavirus ที่เรียกว่า 'โควิดล็อค' ถูกระบุ
ที่มา: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years