Kiberbiztonsági cég, Guardicore LabsÁprilis 1-jén egy közel két éve működő rosszindulatú kriptobányászati botnet azonosítását tárták fel.
A fenyegetőző színész, szinkronizáltVollgarA kevéssé ismert altcoin, a Vollar (VSD) bányászata alapján az MS-SQL szervereket futtató Windows gépeket célozza meg, amelyekből a Guardicore becslése szerint mindössze 500,000 XNUMX létezik világszerte.
Azonban szűkösségük ellenére az MS-SQL szerverek jelentős feldolgozási teljesítményt kínálnak amellett, hogy általában értékes információkat, például felhasználóneveket, jelszavakat és hitelkártyaadatokat tárolnak.
Kifinomult kriptobányászati kártevőhálózat azonosítva
Amint egy szerver megfertőződött, Vollgar „szorgalmasan és alaposan megöli a többi fenyegetőző folyamatát”, mielőtt több hátsó ajtót, távoli elérési eszközt (RAT) és kriptobányászt telepítene.
60%-uk csak rövid ideig volt fertőzött Vollgar által, míg nagyjából 20%-uk akár több hétig is fertőzött maradt. Az áldozatok 10%-áról kiderült, hogy a támadás újrafertőződött. A Vollgar-támadások több mint 120 IP-címről indultak, amelyek többsége Kínában található. A Guardicore arra számít, hogy a legtöbb cím megfelel az új áldozatok megfertőzésére használt, feltört gépeknek.
A Guidicore részben a korrupt hosting cégeket hibáztatja, akik szemet hunynak a szervereiken élő fenyegetés szereplői előtt, és kijelenti:
„Sajnos a figyelmetlen vagy hanyag regisztrátorok és tárhelyszolgáltatók is a probléma részét képezik, mivel lehetővé teszik a támadók számára, hogy IP-címeket és domain neveket használjanak teljes infrastruktúrák tárolására. Ha ezek a szolgáltatók továbbra is másfelé néznek, a tömeges támadások továbbra is virágozni fognak, és hosszú ideig a radar alatt működnek.”
Vollgar bányák vagy két kriptovagyon
A Guardicore kiberbiztonsági kutatója, Ophir Harpaz a Cointelegraph-nak elmondta, hogy a Vollgar számos olyan tulajdonsággal rendelkezik, amelyek megkülönböztetik a legtöbb kriptográfiai támadástól.
„Először is egynél több kriptovalutát bányász – a Monero-t és az alt-coin VSD-t (Vollar). Ezenkívül a Vollgar saját medencét használ a teljes bányászati botnet megszervezésére. Ezt csak egy nagyon nagy botnettel rendelkező támadó gondolná meg.”
Harpaz azt is megjegyzi, hogy a legtöbb bányászati kártevőtől eltérően a Vollgar több potenciális bevételi forrást igyekszik létrehozni azáltal, hogy több RAT-ot telepít a rosszindulatú kriptobányászok tetejére. „Az ilyen hozzáférés könnyen pénzzé váltható a sötét weben” – teszi hozzá.
A Vollgar közel két éve működik
Bár a kutató nem pontosította, hogy a Guardicore mikor azonosította először Vollgart, kijelenti, hogy a botnet tevékenységének 2019 decemberében tapasztalt növekedése arra késztette a céget, hogy alaposabban megvizsgálja a kártevőt.
"A botnet alapos vizsgálata feltárta, hogy az első rögzített támadás 2018 májusában történt, ami közel két éves tevékenységet foglal magában" - mondta Harpaz.
Kiberbiztonsági legjobb gyakorlatok
A Vollgar és más kriptobányászati támadások által okozott fertőzések megelőzése érdekében a Harpaz arra kéri a szervezeteket, hogy keressenek vakfoltokat rendszereikben.
„Javaslom, hogy kezdje a netflow adatok gyűjtésével, és teljes képet kapjon arról, hogy az adatközpont mely részei vannak kitéve az internetnek. Intelligencia nélkül nem léphetsz háborúba; az összes bejövő forgalom feltérképezése az adatközpontba az az intelligencia, amelyre szüksége van a kriptobányászok elleni háború megvívásához.”
„Ezután a védőknek ellenőrizniük kell, hogy minden elérhető gép naprakész operációs rendszerrel és erős hitelesítéssel fut-e” – teszi hozzá.
Az opportunista csalók kihasználják a COVID-19-et
Az elmúlt hetekben a kiberbiztonsági kutatók megszólalt a riasztás a koronavírus-félelmek hasznosítását célzó csalások gyors elterjedésével kapcsolatban.
Múlt héten az Egyesült Királyság megyei szabályozói figyelmeztetett hogy a csalók a Center for Disease Control and Prevention és az Egészségügyi Világszervezet adatait adták ki, hogy az áldozatokat rosszindulatú linkekre irányítsák, vagy csalárd módon Bitcoinként (BTC) fogadjanak adományokat.
Március elején a koronavírus terjedését nyomon követő hőtérkép telepítésének leple alatt keringő képernyőzár-támadás zajlott.CovidLock' azonosították.
Forrás: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years