Siber güvenlik firması, Guardicore Laboratuvarları1 Nisan'da yaklaşık iki yıldır faaliyet gösteren kötü amaçlı bir kripto madenciliği botnet'inin tespit edildiğini ortaya çıkardı.
Tehdit aktörü 'lakaplı'vollgar' az bilinen altcoin madenciliği temeline dayanan Vollar (VSD), Guardicore'un dünya çapında yalnızca 500,000 adet bulunduğunu tahmin ettiği MS-SQL sunucularını çalıştıran Windows makinelerini hedef alıyor.
Bununla birlikte, kıtlığına rağmen MS-SQL sunucuları, kullanıcı adları, parolalar ve kredi kartı bilgileri gibi değerli bilgileri depolamanın yanı sıra oldukça büyük bir işlem gücü sunar.
Gelişmiş kripto madenciliği kötü amaçlı yazılım ağı belirlendi
Bir sunucuya virüs bulaştığında Vollgar, birden fazla arka kapı, uzaktan erişim aracı (RAT) ve kripto madencilerini dağıtmadan önce "diğer tehdit aktörlerinin süreçlerini özenle ve kapsamlı bir şekilde öldürür".
%60'ı yalnızca kısa bir süre için Vollgar tarafından enfekte olurken, kabaca %20'si birkaç haftaya kadar enfekte kaldı. Kurbanların yüzde 10'unun saldırı nedeniyle yeniden enfekte olduğu tespit edildi. Vollgar saldırıları, çoğu Çin'de bulunan 120'den fazla IP adresinden kaynaklandı. Guardicore, adreslerin çoğunun yeni kurbanlara bulaşmak için kullanılan ele geçirilmiş makinelere karşılık gelmesini bekliyor.
Guidicore, suçun bir kısmını, sunucularında yaşayan tehdit aktörlerini görmezden gelen yozlaşmış barındırma şirketlerine atıyor ve şunları söylüyor:
“Ne yazık ki, ihmalkar veya ihmalkar kayıt şirketleri ve barındırma şirketleri, saldırganların tüm altyapıyı barındırmak için IP adreslerini ve alan adlarını kullanmasına izin verdikleri için sorunun bir parçası. Bu sağlayıcılar başka yöne bakmaya devam ederse, kitlesel ölçekli saldırılar başarılı olmaya ve uzun süre radar altında faaliyet göstermeye devam edecek."
Vollgar madenleri veya iki kripto varlığı
Guardicore siber güvenlik araştırmacısı Ophir Harpaz, Cointelegraph'a Vollgar'ın kendisini çoğu cryptojacking saldırısından ayıran çok sayıda özelliğe sahip olduğunu söyledi.
“Öncelikle birden fazla kripto para biriminin madenciliği yapılıyor: Monero ve altcoin VSD (Vollar). Ayrıca Vollgar, madencilik botnetinin tamamını yönetmek için özel bir havuz kullanıyor. Bu, yalnızca çok büyük bir botnet'e sahip bir saldırganın yapmayı düşünebileceği bir şeydir."
Harpaz ayrıca, madencilik kötü amaçlı yazılımlarının çoğundan farklı olarak Vollgar'ın, kötü niyetli kripto madencilerinin üzerine birden fazla RAT yerleştirerek birden fazla potansiyel gelir kaynağı oluşturmaya çalıştığını da belirtiyor. "Böyle bir erişim, karanlık ağda kolayca paraya çevrilebilir" diye ekliyor.
Vollgar yaklaşık iki yıldır faaliyet gösteriyor
Araştırmacı, Guardicore'un Vollgar'ı ilk ne zaman tespit ettiğini belirtmese de, Aralık 2019'da botnet faaliyetlerindeki artışın firmanın kötü amaçlı yazılımı daha yakından incelemesine yol açtığını belirtiyor.
Harpaz, "Bu botnet üzerinde yapılan derinlemesine bir araştırma, kaydedilen ilk saldırının Mayıs 2018'e dayandığını ortaya çıkardı; bu da neredeyse iki yıllık bir faaliyete denk geliyor" dedi.
Siber güvenlik en iyi uygulamaları
Vollgar ve diğer kripto madenciliği saldırılarından kaynaklanan bulaşmayı önlemek için Harpaz, kuruluşları sistemlerindeki kör noktaları aramaya çağırıyor.
"Netflow verilerini toplayarak başlamanızı ve veri merkezinin hangi bölümlerinin internete açık olduğuna dair tam bir görünüm elde etmenizi öneririm. İstihbarat olmadan savaşa giremezsiniz; Gelen tüm trafiği veri merkezinize haritalamak, kripto madencilerine karşı savaşmak için ihtiyacınız olan zekadır."
"Daha sonra savunmacılar erişilebilir tüm makinelerin güncel işletim sistemleriyle ve güçlü kimlik bilgileriyle çalıştığını doğrulamalı" diye ekliyor.
Fırsatçı dolandırıcılar COVID-19'dan yararlanıyor
Son haftalarda siber güvenlik araştırmacıları alarm çaldı Coronavirüs korkularından yararlanmaya çalışan dolandırıcılıkların hızlı bir şekilde yaygınlaştığına dair.
Geçen hafta Birleşik Krallık'taki eyalet düzenleyicileri uyardı Dolandırıcıların, kurbanları kötü amaçlı bağlantılara yönlendirmek veya dolandırıcılıkla Bitcoin (BTC) olarak bağış almak için Hastalık Kontrol ve Önleme Merkezi ve Dünya Sağlık Örgütü'nün kimliğine büründükleri ortaya çıktı.
Mart ayının başında, 'koronavirüs'ün yayılmasını takip eden bir termal harita yükleme kisvesi altında dolaşan bir ekran kilidi saldırısı'covid kilidi' tespit edildi.
Kaynak: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years