Trang chủ » Botnet khai thác tinh vi được xác định sau 2 năm

Botnet khai thác tinh vi được xác định sau 2 năm

bởi Valley Truong
Botnet khai thác tinh vi được xác định sau 2 năm

Công ty bảo mật không gian mạng, Guardicore Labs, đã tiết lộ nhận dạng của một botnet khai thác tiền điện tử độc hại đã hoạt động được gần hai năm vào ngày 01 tháng Tư.

Tác nhân gây hại, được đặt tên là “Vollgar”, dựa trên việc khai thác altcoin ít được biết đến, Vollar (VSD), nhắm vào các máy Windows chạy máy chủ MS-SQL – Guardicore ước tính chỉ có 500.000 máy chủ tồn tại trên toàn thế giới.

Tuy nhiên, mặc dù khan hiếm, các máy chủ MS-SQL cung cấp sức mạnh xử lý khá lớn cộng với việc lưu trữ thông tin có giá trị như tên người dùng, mật khẩu và chi tiết thẻ tín dụng.

Mạng lưới phần mềm độc hại khai thác tiền điện tử tinh vi bị phát hiện

Khi một máy chủ bị nhiễm, Vollgar, “sẽ tiêu diệt các quy trình là tác nhân đe dọa khác một cách siêng năng và triệt để”, trước khi triển khai nhiều cửa hậu, công cụ truy cập từ xa (RAT) và công cụ khai thác tiền điện tử.

60% nạn nhân chỉ bị nhiễm Vollgar trong một thời gian ngắn, trong khi khoảng 20% vẫn bị nhiễm trong vài tuần. 10% nạn nhân được phát hiện đã bị tái nhiễm sau vụ tấn công. Các cuộc tấn công của Vollgar có nguồn gốc từ hơn 120 địa chỉ IP, hầu hết trong số đó được đặt tại Trung Quốc. Guardicore nghĩ rằng hầu hết các địa chỉ tương ứng với các máy bị xâm nhập đang được sử dụng để lây nhiễm nạn nhân mới.

Guidicore đưa ra một phần trách nhiệm với các công ty lưu trữ tham nhũng nhắm mắt làm ngơ với các tác nhân gây hại trong máy chủ của họ, nêu rõ:

Thật không may, các công ty đăng ký và công ty lưu trữ không biết hoặc sơ suất là một phần của vấn đề, vì họ cho phép kẻ tấn công sử dụng địa chỉ IP và tên miền để lưu trữ toàn bộ cơ sở hạ tầng. Nếu các nhà cung cấp này tiếp tục nhìn theo cách khác, các cuộc tấn công quy mô lớn sẽ tiếp tục phát triển và hoạt động dưới radar trong thời gian dài.

Vollgar khai thác nhiều loại tiền điện tử

Nhà nghiên cứu an ninh mạng Guardicore, Ophir Harpaz, nói với Cointelegraph rằng Vollgar có nhiều phẩm chất khác biệt với hầu hết các cuộc tấn công tiền điện tử.

Trước tiên, nó khai thác nhiều hơn một loại tiền điện tử – Monero và altcoin VSD (Vollar). Ngoài ra, Vollgar sử dụng một bể riêng để sắp xếp toàn bộ botnet khai thác. Đây là điều mà chỉ một kẻ tấn công có botnet rất lớn mới có thể thực hiện.

Harpaz cũng lưu ý rằng không giống như hầu hết các phần mềm độc hại khai thác, Vollgar tìm cách thiết lập nhiều nguồn doanh thu tiềm năng bằng cách triển khai nhiều RAT trên đầu các công cụ khai thác tiền điện tử độc hại. “Quyền truy cập như vậy có thể dễ dàng chuyển thành tiền trên web tối”, ông cho biết thêm.

Vollgar hoạt động được gần hai năm

Mặc dù Guardicore không cho biết rằng Vollgar hoạt động khi nào, ông nói rằng sự gia tăng hoạt động botnet vào tháng 12 năm 2019 đã khiến công ty kiểm tra phần mềm độc hại chặt chẽ hơn.

Harpaz cho biết, một cuộc điều tra chuyên sâu về mạng botnet này đã tiết lộ rằng cuộc tấn công được ghi nhận đầu tiên bắt đầu từ tháng 5 năm 2018, tổng hợp tới gần hai năm hoạt động.

Thực hành tốt nhất về an ninh mạng

Để ngăn chặn sự lây nhiễm từ Vollgar và các cuộc tấn công khai thác tiền điện tử khác, Harpaz kêu gọi các tổ chức tìm kiếm các điểm mù trong hệ thống của họ.

Tôi sẽ khuyên bạn nên bắt đầu với việc thu thập dữ liệu netflow và có được cái nhìn đầy đủ về những phần nào của trung tâm dữ liệu được tiếp xúc với internet. Bạn không thể tham gia một cuộc chiến mà không có trí thông minh; ánh xạ tất cả lưu lượng truy cập đến trung tâm dữ liệu của bạn là trí thông minh bạn cần để chống lại cuộc chiến chống lại phần mềm tiền điện tử độc hại.

“Sau đó, những người bảo vệ nên xác minh rằng tất cả các máy có thể truy cập đang chạy với các hệ điều hành cập nhật và thông tin xác thực mạnh mẽ”, ông nói thêm.

Những kẻ lừa đảo cơ hội tận dụng COVID-19

Trong những tuần gần đây, các nhà nghiên cứu an ninh mạng đã gióng lên hồi chuông cảnh báo về sự gia tăng nhanh chóng trong các vụ lừa đảo nhằm tìm cách thúc đẩy nỗi sợ coronavirus.

Tuần trước, các cơ quan quản lý của quận U.K. cảnh báo rằng những kẻ lừa đảo đang mạo danh Trung tâm Kiểm soát và Phòng ngừa dịch bệnh và Tổ chức Y tế Thế giới để chuyển hướng nạn nhân đến các liên kết độc hại hoặc lừa đảo nhận tiền quyên góp dưới dạng Bitcoin (BTC).

Vào đầu tháng 3, một cuộc tấn công khóa màn hình lưu hành dưới chiêu bài cài đặt bản đồ nhiệt theo dõi sự lây lan của đại dịch Corona có tên CovidLock đã được xác định.


Nguồn: Cointelegraph

Biên dịch bởi VIC News
0 Bình luận

Related Posts

Để lại bình luận