Рекомендуем почитать:
Эксперты компании Guardicore обнаружили майнинговый ботнет Vollgar, который брутфорсит базы данных Microsoft SQL, чтобы перехватить контроль над учетной записью администратора, захватить сервер и установить на него майнеры криптовалют Monero и Vollar.
Отчет исследователей гласит, что угроза активна как минимум с мая 2018 года и в настоящее время заражает примерно 2000-3000 новых БД в день.
Исследователи пишут, что брутфорс-атаки на БД MSSQL используют более 120 IP-адресов, причем большинство из них расположены в Китае. Предположительно, злоумышленники используют для поиска и заражения новых жертв ранее скомпрометированные машины. Некоторые из них участвовали лишь в нескольких инцидентах, тогда как ряд других IP-адресов был активен более трех месяцев.
Vollgar демонстрирует постоянную «текучку»: ботнет ежедневно теряет серверы и тут же добавляет новые. По данным Guardicore, более 60% всех взломанных серверов MSSQL остаются заражены Vollgar и майнинговой малварью в течение коротких периодов времени (в среднем до двух дней). Лишь 20% зараженных систем остаются инфицированными неделю и более.
Около 10% жертв страдают от повторных заграждений. Обычно это происходит потому, что администраторы не удаляют все компоненты малвари должным образом, оставляя возможность для ее переустановки.
Чтобы помочь жертвам справиться с проблемой надлежащим образом специалисты Guardicore создали специальный репозиторий на GitHub, где разместили скрипты для обнаружения файлов и бэкдор-аккаунтов, создаваемых Vollgar.
Специалисты компании отмечают, что в настоящее время в интернете в общей сложности действуют примерно 30 майнинговых ботнетов. Ежедневно они контролируют тысячи или даже десятки тысяч машин по всему миру. Большинство из них не привязаны к конкретным технологиям, как Vollgar к MSSQL. Так, в Топ-5 самых сканируемых портов и протоколов входят SSH, SMB, FTP, HTTP и MS-SQL.
Большинство таких ботнетов по-прежнему сосредоточены на майнинге криптовалюты Monero. Однако добывать Monero постепенно становится все труднее, поэтому хак-группы постепенно переходят к менее известным монетам, такими как Vollar (ботнет Vollgar) или TurtleCoin (ботнет Nansh0u).
Читайте также
Последние новости