Una botnet de cripto-minería ha estado secuestrando servidores MSSQL durante casi dos años.


mapa del mundo botnet

Imagen: Peter Kruse

Desde mayo de 2018, una botnet de malware ha lanzado ataques de fuerza bruta contra bases de datos Microsoft SQL (MSSQL) para hacerse cargo de las cuentas de administrador y luego instalar scripts de minería de criptomonedas en el sistema operativo subyacente.

La botnet, detallada en un informe publicado hoy por la empresa de seguridad cibernética Guardicore y compartido con ZDNet, sigue activo e infecta aproximadamente 3.000 nuevas bases de datos MSSQL cada día.

Guardicore nombró a la botnet Vollgar en base a su predisposición a extraer la criptomoneda Vollar (VDS) junto con Monero (XMR), la moneda alternativa de facto extraída por la mayoría de las botnets de hoy.

mssql-botnet-dailies.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/04/01/931fd75c-75a3-4817-a6a5-f168a78e1dd6/mssql-botnet-dailies.png

Imagen: Guardicore

«Durante sus dos años de actividad, el flujo de ataques de la campaña se ha mantenido similar: minucioso, bien planificado y ruidoso», dijo Ophir Harpaz, investigador de seguridad cibernética de Guardicore.

Los ataques de fuerza bruta que buscan adivinar la contraseña de los servidores MSSQL han rociado todo Web. Guardicore dice que desde mayo de 2018, tienen más de 120 direcciones IP utilizadas para lanzar ataques, y la mayoría de las IP provienen de China.

«Estas son probablemente máquinas comprometidas, reutilizadas para escanear e infectar a nuevas víctimas», dijo Harpaz. «Si bien algunos de ellos fueron de corta duración y responsables de solo varios incidentes, un par de IP de origen estuvieron activas durante más de tres meses».

Los scripts de detección están disponibles en GitHub

Harpaz dijo que la crimson de bots ha estado en constante rotación, perdiendo servidores y agregando nuevos diariamente. Según Guardicore, más del 60% de todos los servidores MSSQL secuestrados permanecen infectados con el malware de minería criptográfica Vollgar solo por períodos cortos de hasta dos días.

Harpaz dijo que casi el 20% de todos los sistemas MSSQL, sin embargo, permanecen infectados durante más de una semana, e incluso más. Harpaz cree que esto se debe a que, o el malware Vollgar logra disfrazarse del program de seguridad local, o la foundation de datos no está ejecutando uno en primer lugar.

Sin embargo, el investigador de Guardicore también señala otra estadística interesante: que el 10% de todas las víctimas se reinfectan con el malware.

Harpaz dice que esto generalmente sucede porque los administradores no eliminan todos los módulos del malware correctamente, dejando la puerta para que el malware se reinstale.

Para ayudar a los administradores de MSSQL de las víctimas, Guardicore ha publicado un repositorio de GitHub con scripts para detectar archivos y cuentas de puerta trasera creadas por el malware Vollgar en hosts infectados.

Guardicore está rastreando más de 30 botnets de cripto minería

Esto marca la quinta botnets de minería de criptomonedas que se dirigen específicamente a bases de datos MSSQL que Guardicore ha descubierto desde mayo de 2017. Las botnets anteriores incluyen los gustos de Bondnet, Hex-Adult males, Smominruy Nansh0u.

Sin embargo, en una entrevista con ZDNet Esta semana, Harpaz calcula que la cantidad de botnets de minería criptográfica es muy superior a 30. En standard, los investigadores de Guardicore dijeron que estas botnets controlan diariamente entre miles e incluso decenas de miles de máquinas en todo el mundo.

La mayoría de estas botnets de cripto-minería no se encasillan con tecnología de servidor específica, como la botnet Vollgar, que se dirige principalmente a bases de datos MSSQL.

Los escaneos de Botnet se dirigen a un amplio espectro de software package de servidor, que utilizan como puntos de entrada para plantar su malware. Harpaz dice que, según los datos de la red de sensores globales de Guardicore, los 5 puertos / protocolos más escaneados son SSH, SMB, FTP, HTTP y MS-SQL.

Puertos web más escaneados "src =" https://zdnet1.cbsistatic.com/hub/i/2020/04/01/c58ff6ca-9a35-4e59-bef2-cdcac1f0f77b/mssql-botnet-overall.png

Imagen: Guardicore (suministrado)

«Es difícil decir si todos y cada uno de estos escaneos se convierten en un ataque de criptominería, pero nuestra experiencia muestra que este tipo de campaña es el vector de ataque más inmediato para que los actores de amenazas obtengan ganancias», dijo Harpaz ZDNet.

«Los grupos de criptominería están buscando dos cosas: máquinas ingeniosas y objetivos a gran escala», agregó el investigador.

«Los servidores de bases de datos, así como los servidores RDP, tienden a ejecutarse en máquinas con mayor poder de cómputo, lo que los convierte en mejores trabajadores para la tarea de criptominería.

«Los atacantes ansían tanto estas máquinas que ponen un esfuerzo significativo en destruir los procesos y archivos de otros grupos de ataque para obtener el regulate full del recurso precioso», dijo Harpaz ZDNet. Una característica que eliminó las secuencias de comandos de las botnets de la competencia también está presente en el código de Vollgar.

Harpaz dijo ZDNet que la mayoría de las botnets todavía se centran en extraer la criptomoneda Monero. Sin embargo, a medida que Monero se está volviendo cada vez más difícil de extraer, los grupos han experimentado con monedas menos conocidas, como Vollar (botnet Vollgar) y TurtleCoin (Nansh0u).

En el futuro, Harpaz dijo que Guardicore planea publicar más datos en las botnets que ha estado rastreando, en un intento por mejorar la detección en toda la industria.

«Actualmente estamos trabajando en una nueva Enciclopedia Botnet para compartir nuestros datos únicos con la comunidad de seguridad», dijo Harpaz ZDNet. «Esto incluirá campañas activas y pasadas, su período de tiempo y sus COI asociados y más».



Enlace a la noticia primary