Cybersikkerhedsfirma, Guardicore Labs, afslørede identifikationen af et ondsindet crypto-mining-botnet, der har været i drift i næsten to år den 1. april.
Trusselskuespilleren, døbt 'Vollgar' baseret på sin udvinding af den lidet kendte altcoin, Vollar (VSD), retter sig mod Windows-maskiner, der kører MS-SQL-servere - hvoraf Guardicore anslår, at der kun findes 500,000 på verdensplan.
Men på trods af deres knaphed tilbyder MS-SQL-servere betydelig processorkraft ud over typisk at gemme værdifulde oplysninger såsom brugernavne, adgangskoder og kreditkortoplysninger.
Sofistikeret crypto-mining malware-netværk identificeret
Når først en server er inficeret, "dræber Vollgar flittigt og grundigt andre trusselsaktørers processer," før han implementerer flere bagdøre, fjernadgangsværktøjer (RAT'er) og kryptominearbejdere.
60 % var kun inficeret af Vollgar i en kort periode, mens omkring 20 % forblev inficeret i op til flere uger. 10 % af ofrene viste sig at være blevet geninficeret af angrebet. Vollgar-angreb stammer fra mere end 120 IP-adresser, hvoraf de fleste er placeret i Kina. Guardicore forventer, at de fleste adresser svarer til kompromitterede maskiner, der bliver brugt til at inficere nye ofre.
Guidicore lægger en del af skylden hos korrupte hostingfirmaer, der lukker øjnene for trusselsaktører, der bor på deres servere, og siger:
"Desværre er uvidende eller uagtsomme registratorer og hostingfirmaer en del af problemet, da de tillader angribere at bruge IP-adresser og domænenavne til at hoste hele infrastrukturer. Hvis disse udbydere fortsætter med at se den anden vej, vil masseangreb fortsætte med at blomstre og operere under radaren i lange perioder."
Vollgar-miner eller to kryptoaktiver
Guardicores cybersikkerhedsforsker, Ophir Harpaz, fortalte Cointelegraph, at Vollgar har adskillige kvaliteter, der adskiller det fra de fleste kryptojacking-angreb.
"For det første miner den mere end én kryptovaluta - Monero og alt-mønten VSD (Vollar). Derudover bruger Vollgar en privat pool til at orkestrere hele mining-botnettet. Dette er noget, kun en angriber med et meget stort botnet ville overveje at gøre."
Harpaz bemærker også, at i modsætning til de fleste minedrift-malware, søger Vollgar at etablere flere kilder til potentiel indtægt ved at implementere flere RAT'er oven på de ondsindede kryptominearbejdere. "Sådan adgang kan nemt oversættes til penge på det mørke web," tilføjer han.
Vollgar opererer i næsten to år
Mens forskeren ikke specificerede, hvornår Guardicore første gang identificerede Vollgar, siger han, at en stigning i botnettets aktivitet i december 2019 fik firmaet til at undersøge malwaren nærmere.
"En dybtgående undersøgelse af dette botnet afslørede, at det første registrerede angreb dateres tilbage til maj 2018, hvilket summerer op til næsten to års aktivitet," sagde Harpaz.
Bedste praksis for cybersikkerhed
For at forhindre infektion fra Vollgar og andre kryptomineangreb opfordrer Harpaz organisationer til at søge efter blinde vinkler i deres systemer.
”Jeg vil anbefale at starte med at indsamle netflow-data og få et fuldt overblik over, hvilke dele af datacentret, der er udsat for internettet. Du kan ikke gå ind i en krig uden intelligens; kortlægning af al indgående trafik til dit datacenter er den intelligens, du har brug for for at kæmpe krigen mod kryptominere."
"Dernæst bør forsvarere verificere, at alle tilgængelige maskiner kører med opdaterede operativsystemer og stærke legitimationsoplysninger," tilføjer han.
Opportunistiske svindlere udnytter COVID-19
I de seneste uger har cybersikkerhedsforskere lød alarmen om en hurtig spredning af svindel, der søger at udnytte frygten for coronavirus.
I sidste uge, britiske county regulatorer advarede at svindlere efterlignede Center for Disease Control and Prevention og Verdenssundhedsorganisationen for at omdirigere ofre til ondsindede links eller for svigagtigt at modtage donationer som Bitcoin (BTC).
I begyndelsen af marts cirkulerede et skærmlåsangreb under dække af at installere et termisk kort, der sporer spredningen af coronavirus kaldet 'CovidLock' blev identificeret.
Kilde: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years