网络安全公司, Guardicore实验室,1 月 XNUMX 日披露了一个已运行近两年的恶意加密货币挖矿僵尸网络的识别信息。
威胁演员,被称为“伏尔加河基于其对鲜为人知的山寨币 Vollar (VSD) 的挖掘,目标是运行 MS-SQL 服务器的 Windows 机器——Guardicore 估计全球仅存在 500,000 个此类机器。
然而,尽管数量稀缺,MS-SQL 服务器除了通常存储用户名、密码和信用卡详细信息等有价值的信息之外,还提供相当大的处理能力。
发现复杂的加密货币挖矿恶意软件网络
一旦服务器被感染,Vollgar 就会“勤奋彻底地杀死其他威胁参与者的进程”,然后部署多个后门、远程访问工具 (RAT) 和加密矿工。
60% 的人仅在短时间内感染了 Vollgar,而大约 20% 的人持续感染长达数周。 10%的受害者被发现在这次袭击中被再次感染。 Vollgar攻击源自120多个IP地址,其中大部分位于中国。 Guardicore 预计大多数地址对应于被用来感染新受害者的受感染机器。
Guidicore 将部分责任归咎于腐败的托管公司,这些公司对侵入其服务器的威胁行为者视而不见,并表示:
“不幸的是,疏忽或疏忽的注册商和托管公司是问题的一部分,因为它们允许攻击者使用 IP 地址和域名来托管整个基础设施。 如果这些提供商继续视而不见,大规模攻击将继续猖獗,并在很长一段时间内在雷达下运作。”
Vollgar 矿场或两种加密资产
Guardicore 网络安全研究员 Ophir Harpaz 告诉 Cointelegraph,Vollgar 具有许多与大多数加密劫持攻击不同的品质。
“首先,它开采不止一种加密货币——门罗币和替代币 VSD (Vollar)。 此外,Vollgar 使用私人矿池来协调整个挖矿僵尸网络。 只有拥有非常大的僵尸网络的攻击者才会考虑这样做。”
Harpaz 还指出,与大多数挖矿恶意软件不同,Vollgar 寻求通过在恶意加密货币矿工上部署多个 RAT 来建立多种潜在收入来源。 “这种访问可以很容易地转化为暗网上的金钱,”他补充道。
Vollgar运营近两年
虽然研究人员没有具体说明 Guardicore 首次识别 Vollgar 的时间,但他表示,2019 年 XNUMX 月僵尸网络活动的增加导致该公司更仔细地检查了该恶意软件。
Harpaz 表示:“对该僵尸网络的深入调查显示,第一次有记录的攻击可以追溯到 2018 年 XNUMX 月,这相当于近两年的活动。”
网络安全最佳做法
为了防止受到 Vollgar 和其他加密挖矿攻击的感染,Harpaz 敦促组织寻找系统中的盲点。
“我建议从收集网络流量数据开始,全面了解数据中心的哪些部分暴露在互联网上。 没有情报就无法参加战争; 将所有传入流量映射到您的数据中心是您对抗加密货币矿工所需的情报。”
“接下来,防御者应该验证所有可访问的机器是否都在运行最新的操作系统和强大的凭据,”他补充道。
机会主义诈骗者利用 COVID-19
最近几周,网络安全研究人员 敲响了警钟 关于试图利用冠状病毒恐惧的骗局迅速扩散。
上周,英国郡监管机构 警告 诈骗者冒充疾病控制与预防中心和世界卫生组织,将受害者重定向到恶意链接或以欺诈方式接收比特币 (BTC) 捐款。
XNUMX 月初,一场屏幕锁定攻击以安装追踪冠状病毒传播的热图为幌子传播,名为“病毒锁”被识别出来。
资料来源:https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years