Ботнет заразил тысячи серверов Microsoft для добычи криптовалют Vollar и Monero

С мая 2018 года до трех тысяч серверов под управлением Microsoft SQL ежедневно становились жертвой вредоносного ПО, которое использовалось в том числе для установки криптомайнеров. Ситуация детально раскрыта в отчете специалистов по кибербезопасности Guardicore Labs.

Злоумышленникам удалось скрыто добывать Monero и еще один привязанный к доллару альткоин Vollar (VDS), который сочетает элементы конфиденциальности и смарт-контрактов.

В названии ботнета Vollgar есть отсылка к этому токену, а также грубому способу получения доступа к серверу жертвы путем перебора возможных комбинаций пароля (от англ. burglar — «взломщик»).

Заражению подверглось оборудование организаций в сферах здравоохранения, авиации, образования, IT и телекоммуникаций в Китае, Индии, Южной Корее, Турции и США.

«Базы этих серверов привлекательны для злоумышленников за счет огромных объемов хранимых в них данных, таких как имена пользователей, пароли и данные кредитных карт», — указано в обзоре.

Атаки Vollgar исходили от более чем 120 IP-адресов, преимущественно из Китая. По мнению специалистов, это скомпрометированные машины, перепрофилированные для сканирования и заражения новых жертв.

Жертвы далеко не всегда догадывались о действиях ботнета. По данным Guardicore Labs, каждый пятый взломанный сервер оставался зараженным на протяжении одной-двух недель.

Исследователи подчеркнули, что злоумышленники успешно обходили антивирусы и технологии EDR.

Guardicore Labs обнародовали скрипт, который позволит потенциальным жертвам выявить признаки вмешательства ботнета в системы.

Ранее Forklog писал об оригинальных методах для маскировки активности ботнета Stantinko.

Подписывайтесь на канал ForkLog в YouTube!