Podjetje za kibernetsko varnost, Laboratoriji Guardicore, je 1. aprila razkril identifikacijo zlonamernega botneta za kripto rudarjenje, ki je deloval skoraj dve leti.
Igralec grožnje, poimenovan 'Vollgar', ki temelji na rudarjenju malo znanega altcoina, Vollar (VSD) cilja na stroje Windows, ki poganjajo strežnike MS-SQL - Guardicore ocenjuje, da jih po vsem svetu obstaja le 500,000.
Strežniki MS-SQL kljub pomanjkanju ponujajo precejšnjo procesorsko moč poleg običajnega shranjevanja dragocenih informacij, kot so uporabniška imena, gesla in podatki o kreditnih karticah.
Identificirano sofisticirano omrežje zlonamerne programske opreme za kripto rudarjenje
Ko je strežnik okužen, Vollgar "vestno in temeljito uniči procese drugih akterjev groženj," preden uvede več stranskih vrat, orodij za oddaljeni dostop (RAT) in kripto rudarjev.
60 % jih je bilo okuženih z Vollgarjem samo za kratek čas, medtem ko jih je približno 20 % ostalo okuženih do nekaj tednov. Ugotovljeno je bilo, da se je 10 % žrtev ponovno okužilo zaradi napada. Napadi Vollgar izvirajo iz več kot 120 naslovov IP, večina jih je na Kitajskem. Guardicore pričakuje, da večina naslovov ustreza ogroženim strojem, ki se uporabljajo za okužbo novih žrtev.
Guidicore del krivde pripisuje pokvarjenim gostiteljskim podjetjem, ki si zatiskajo oči pred akterji groženj, ki živijo na njihovih strežnikih, in navaja:
»Na žalost so del problema nezavedni ali malomarni registrarji in gostiteljska podjetja, saj napadalcem omogočajo uporabo naslovov IP in imen domen za gostovanje celotne infrastrukture. Če bodo ti ponudniki še naprej gledali v drugo smer, bodo množični napadi še naprej uspevali in dolgo časa delovali pod radarjem.«
Vollgar rudniki ali dve kripto sredstvi
Raziskovalec kibernetske varnosti Guardicore Ophir Harpaz je za Cointelegraph povedal, da ima Vollgar številne lastnosti, po katerih se razlikuje od večine napadov kriptovaluta.
»Prvič, rudari več kot eno kriptovaluto – Monero in nadomestni kovanec VSD (Vollar). Poleg tega Vollgar uporablja zasebni bazen za orkestriranje celotnega rudarskega botneta. To je nekaj, o čemer bi razmišljal samo napadalec z zelo velikim botnetom.«
Harpaz tudi ugotavlja, da si Vollgar za razliko od večine zlonamerne programske opreme za rudarjenje prizadeva vzpostaviti več virov potencialnega prihodka z uvedbo več RAT-jev poleg zlonamernih kripto rudarjev. "Takšen dostop je mogoče enostavno pretvoriti v denar na temnem spletu," dodaja.
Vollgar deluje skoraj dve leti
Medtem ko raziskovalec ni navedel, kdaj je Guardicore prvič identificiral Vollgarja, navaja, da je povečanje dejavnosti botneta decembra 2019 vodilo podjetje k natančnejšemu pregledu zlonamerne programske opreme.
"Poglobljena preiskava tega botneta je razkrila, da je bil prvi zabeleženi napad maj 2018, kar povzema skoraj dve leti dejavnosti," je dejal Harpaz.
Najboljše prakse kibernetske varnosti
Da bi preprečili okužbo z Vollgarjem in drugimi napadi na kripto rudarjenje, Harpaz poziva organizacije, naj v svojih sistemih poiščejo slepe točke.
»Priporočam, da začnete z zbiranjem podatkov netflow in pridobite popoln vpogled v to, kateri deli podatkovnega centra so izpostavljeni internetu. V vojno ne morete vstopiti brez inteligence; preslikava vsega dohodnega prometa v vaš podatkovni center je inteligenca, ki jo potrebujete v boju proti rudarjem kripto kripto."
»Nato bi morali zagovorniki preveriti, ali vsi dostopni stroji delujejo s posodobljenimi operacijskimi sistemi in močnimi poverilnicami,« dodaja.
Oportunistični goljufi izkoriščajo COVID-19
V zadnjih tednih so raziskovalci kibernetske varnosti je sprožil alarm glede hitrega širjenja prevar, s katerimi želijo izkoristiti strah pred koronavirusom.
Prejšnji teden so okrožni regulatorji Združenega kraljestva Opozoril da so prevaranti lažno predstavljali Center za nadzor in preprečevanje bolezni in Svetovno zdravstveno organizacijo, da bi žrtve preusmerili na zlonamerne povezave ali da bi goljufivo prejemali donacije kot Bitcoin (BTC).
V začetku marca je napad z zaklepanjem zaslona krožil pod krinko namestitve termalne karte za sledenje širjenju koronavirusa, imenovanega 'CovidLock' je bil identificiran.
Vir: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years