Фірма кібербезпеки, Лабораторії гвардії1 квітня було виявлено зловмисний ботнет для майнінгу криптовалют, який працював майже два роки.
Актор загрози, який отримав назву "VollgarНа основі майнінгу маловідомого альткойна Vollar (VSD) він націлений на комп’ютери Windows із серверами MS-SQL, яких, за оцінками Guardicore, у всьому світі існує лише 500,000 XNUMX.
Однак, незважаючи на їх дефіцит, сервери MS-SQL пропонують значну потужність обробки на додаток до звичайного зберігання цінної інформації, такої як імена користувачів, паролі та дані кредитних карток.
Виявлено складну мережу зловмисного програмного забезпечення для криптомайнінгу
Після зараження сервера Vollgar «старанно й ретельно вимикає процеси інших учасників загрози» перед розгортанням кількох бекдорів, інструментів віддаленого доступу (RAT) і майнерів криптовалюти.
60% були інфіковані Vollgar лише на короткий час, тоді як приблизно 20% залишалися інфікованими до кількох тижнів. Було виявлено, що 10% жертв були повторно інфіковані в результаті атаки. Атаки Vollgar відбуваються з понад 120 IP-адрес, більшість з яких розташовані в Китаї. Guardicore очікує, що більшість адрес відповідають скомпрометованим машинам, які використовуються для зараження нових жертв.
Guidicore покладає частину провини на корумповані хостингові компанії, які закривають очі на загрозливих акторів, що заселяють їхні сервери, заявляючи:
«На жаль, неуважні або недбалі реєстратори та хостингові компанії є частиною проблеми, оскільки вони дозволяють зловмисникам використовувати IP-адреси та доменні імена для розміщення цілої інфраструктури. Якщо ці провайдери продовжуватимуть дивитися в інший бік, масові атаки продовжуватимуть процвітати й працюватимуть непоміченими протягом тривалого часу».
Майні Vollgar або два криптоактиви
Дослідник кібербезпеки Guardicore Офір Харпаз сказав Cointelegraph, що Vollgar має численні якості, які відрізняють його від більшості атак криптозлому.
«По-перше, він майнить більше ніж одну криптовалюту – Monero та альтернативну монету VSD (Vollar). Крім того, Vollgar використовує приватний пул для управління всім майнінговим ботнетом. Лише зловмисник із дуже великою бот-мережею міг би це зробити».
Гарпаз також зазначає, що на відміну від більшості зловмисних програм для майнінгу, Vollgar прагне створити кілька джерел потенційного доходу, розгортаючи кілька RAT поверх зловмисних криптомайнерів. «Такий доступ можна легко перетворити на гроші в темній мережі», — додає він.
Vollgar працює майже два роки
Хоча дослідник не уточнив, коли Guardicore вперше ідентифікував Vollgar, він стверджує, що збільшення активності ботнету в грудні 2019 року змусило фірму більш ретельно вивчити шкідливе програмне забезпечення.
«Поглиблене дослідження цього ботнету показало, що перша зареєстрована атака датується травнем 2018 року, що підсумовує майже два роки діяльності», — сказав Гарпаз.
Кращі методи кібербезпеки
Щоб запобігти зараженню від Vollgar та інших крипто-майнінгових атак, Harpaz закликає організації шукати сліпі зони у своїх системах.
«Я б рекомендував почати зі збору даних netflow і отримати повне уявлення про те, які частини центру обробки даних доступні для Інтернету. Ви не можете вступити у війну без розуму; відображення всього вхідного трафіку на ваш центр обробки даних — це розум, який вам потрібен, щоб вести війну з криптомайнерами».
«Далі захисники повинні перевірити, чи всі доступні машини працюють з найновішими операційними системами та надійними обліковими даними», — додає він.
Опортуністичні шахраї використовують COVID-19
Останніми тижнями дослідники кібербезпеки зробили забили тривогу щодо швидкого поширення шахрайства, спрямованого на використання страхів щодо коронавірусу.
Минулого тижня регулюючі органи Великобританії попередили що шахраї видавали себе за Центр контролю та профілактики захворювань і Всесвітню організацію охорони здоров’я, щоб перенаправляти жертв на шкідливі посилання або шахрайським шляхом отримувати пожертви у вигляді біткойнів (BTC).
На початку березня під виглядом встановлення теплової карти, яка відстежує поширення коронавірусу, поширювалася атака на блокування екрана під назвою "CovidLock' було ідентифіковано.
Джерело: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years