Công ty bảo mật mạng, Phòng thí nghiệm Guardicore, đã tiết lộ danh tính của một mạng botnet khai thác tiền điện tử độc hại đã hoạt động gần hai năm vào ngày 1 tháng XNUMX.
Tác nhân đe dọa, được gọi là 'Volgar'dựa trên việc khai thác altcoin ít được biết đến, Vollar (VSD), nhắm mục tiêu vào các máy Windows chạy máy chủ MS-SQL - trong đó Guardicore ước tính chỉ có 500,000 tồn tại trên toàn thế giới.
Tuy nhiên, bất chấp sự khan hiếm của chúng, các máy chủ MS-SQL cung cấp sức mạnh xử lý khá lớn ngoài việc thường lưu trữ thông tin có giá trị như tên người dùng, mật khẩu và chi tiết thẻ tín dụng.
Đã xác định được mạng phần mềm độc hại khai thác tiền điện tử tinh vi
Sau khi một máy chủ bị nhiễm, Vollgar “giết một cách siêng năng và triệt để các quy trình của các tác nhân đe dọa khác” trước khi triển khai nhiều cửa hậu, công cụ truy cập từ xa (RAT) và công cụ khai thác tiền điện tử.
60% chỉ bị nhiễm Vollgar trong một thời gian ngắn, trong khi khoảng 20% vẫn bị nhiễm trong vài tuần. 10% nạn nhân được phát hiện là đã bị tái nhiễm bởi cuộc tấn công. Các cuộc tấn công Vollgar bắt nguồn từ hơn 120 địa chỉ IP, hầu hết được đặt ở Trung Quốc. Guardicore mong đợi hầu hết các địa chỉ tương ứng với các máy bị xâm nhập đang được sử dụng để lây nhiễm cho các nạn nhân mới.
Guidicore đổ lỗi cho các công ty lưu trữ tham nhũng, những người nhắm mắt làm ngơ trước những kẻ đe dọa sinh sống trên máy chủ của họ, nêu rõ:
“Thật không may, các công ty đăng ký và lưu trữ bị lãng quên hoặc cẩu thả là một phần của vấn đề, vì chúng cho phép những kẻ tấn công sử dụng địa chỉ IP và tên miền để lưu trữ toàn bộ cơ sở hạ tầng. Nếu các nhà cung cấp này tiếp tục nhìn theo hướng khác, các cuộc tấn công quy mô lớn sẽ tiếp tục thịnh vượng và hoạt động dưới sự kiểm soát của radar trong thời gian dài ”.
Mỏ Vollgar hoặc hai tài sản tiền điện tử
Nhà nghiên cứu an ninh mạng của Guardicore, Ophir Harpaz, nói với Cointelegraph rằng Vollgar có nhiều phẩm chất khác biệt với hầu hết các cuộc tấn công bằng tiền điện tử.
“Đầu tiên, nó khai thác nhiều hơn một loại tiền điện tử - Monero và alt-coin VSD (Vollar). Ngoài ra, Vollgar sử dụng một nhóm riêng để điều phối toàn bộ mạng botnet khai thác. Đây là điều mà chỉ kẻ tấn công có mạng botnet rất lớn mới cân nhắc làm ”.
Harpaz cũng lưu ý rằng không giống như hầu hết các phần mềm độc hại khai thác, Vollgar tìm cách thiết lập nhiều nguồn doanh thu tiềm năng bằng cách triển khai nhiều RAT trên đầu các công cụ khai thác tiền điện tử độc hại. Ông cho biết thêm: “Quyền truy cập như vậy có thể dễ dàng chuyển thành tiền trên dark web.
Vollgar hoạt động gần hai năm
Mặc dù nhà nghiên cứu không nêu rõ thời điểm Guardicore xác định Vollgar lần đầu tiên, nhưng ông nói rằng sự gia tăng hoạt động của mạng botnet vào tháng 2019 năm XNUMX đã khiến công ty phải kiểm tra phần mềm độc hại chặt chẽ hơn.
Harpaz cho biết: “Một cuộc điều tra chuyên sâu về mạng botnet này đã tiết lộ rằng cuộc tấn công đầu tiên được ghi nhận vào tháng 2018 năm XNUMX, kéo dài gần hai năm hoạt động.
Các phương pháp hay nhất về bảo mật mạng
Để ngăn chặn sự lây nhiễm từ Vollgar và các cuộc tấn công khai thác tiền điện tử khác, Harpaz kêu gọi các tổ chức tìm kiếm các điểm mù trong hệ thống của họ.
“Tôi khuyên bạn nên bắt đầu với việc thu thập dữ liệu netflow và có cái nhìn đầy đủ về những phần nào của trung tâm dữ liệu được tiếp xúc với internet. Bạn không thể bước vào một cuộc chiến mà không có thông tin tình báo; ánh xạ tất cả lưu lượng truy cập đến trung tâm dữ liệu của bạn là thông tin tình báo bạn cần để chống lại cuộc chiến chống lại những kẻ khai thác mật mã ”.
“Tiếp theo, những người bảo vệ nên xác minh rằng tất cả các máy có thể truy cập đang chạy với hệ điều hành cập nhật và thông tin xác thực mạnh mẽ,” ông nói thêm.
Những kẻ lừa đảo cơ hội tận dụng COVID-19
Trong những tuần gần đây, các nhà nghiên cứu an ninh mạng đã báo động liên quan đến sự gia tăng nhanh chóng trong các trò gian lận tìm cách tận dụng nỗi sợ hãi coronavirus.
Tuần trước, các cơ quan quản lý quận của Vương quốc Anh cảnh báo rằng những kẻ lừa đảo đã mạo danh Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh và Tổ chức Y tế Thế giới để chuyển hướng nạn nhân đến các liên kết độc hại hoặc để lừa đảo nhận các khoản đóng góp dưới dạng Bitcoin (BTC).
Vào đầu tháng XNUMX, một cuộc tấn công khóa màn hình lan truyền dưới chiêu bài cài đặt bản đồ nhiệt theo dõi sự lây lan của coronavirus được gọi là 'CovidKhóa' đã được xác định.
Nguồn: https://cointelegraph.com/news/sopuality-osystem-botnet-identified- After-2-years