Ausgeklügeltes Mining-Botnet nach 2 Jahren identifiziert

 9. April 2020      
 Crypto   

Die Cybersicherheitsfirma Guardicore Labs hat die Identifizierung eines bösartigen Krypto-Mining-Botnetzes aufgedeckt, das seit fast zwei Jahren am 1. April in Betrieb ist.

Der Bedrohungsakteur, der aufgrund des Abbaus der wenig bekannten Altmünze Vollar (VSD) als „Vollgar“ bezeichnet wird, zielt auf Windows-Rechner mit MS-SQL-Servern – von denen es nach Schätzungen von Guardicore weltweit nur 500.000 gibt.

Trotz ihrer Knappheit bieten MS-SQL-Server jedoch eine beträchtliche Rechenleistung und speichern zusätzlich wertvolle Informationen wie Benutzernamen, Passwörter und Kreditkartendaten.

Ausgeklügeltes Krypto-Mining-Malware-Netzwerk identifiziert

Sobald ein Server infiziert ist, tötet Vollgar „sorgfältig und gründlich die Prozesse anderer Bedrohungsakteure“, bevor er mehrere Hintertüren, Fernzugriffs-Tools (RATs) und Krypto-Miner einsetzt.

Blockchain60% wurden nur für kurze Zeit mit Vollgar infiziert, während etwa 20% bis zu mehreren Wochen infiziert blieben. Bei 10% der Opfer wurde festgestellt, dass sie durch den Angriff wieder infiziert wurden. Die Vollgar-Angriffe haben ihren Ursprung in mehr als 120 IP-Adressen, von denen sich die meisten in China befinden. Guardicore geht davon aus, dass die meisten Adressen mit kompromittierten Rechnern korrespondieren, die zur Infektion neuer Opfer verwendet werden.

Guidicore gibt korrupten Hosting-Firmen, die die Augen vor Bedrohungsakteuren, die ihre Server bewohnen, verschließen, eine Teilschuld:

„Leider sind selbstvergessene oder nachlässige Registrierungsstellen und Hosting-Unternehmen Teil des Problems, da sie es den Angreifern ermöglichen, IP-Adressen und Domänennamen für das Hosting ganzer Infrastrukturen zu verwenden. Wenn diese Anbieter weiterhin wegschauen, werden Angriffe im Massenmaßstab weiterhin gedeihen und für lange Zeit unter dem Radar operieren“.

Vollgar-Minen oder zwei Krypto-Mittel

Der Cybersicherheitsforscher Ophir Harpaz von Guardicore sagte gegenüber Cointelegraph, dass Vollgar zahlreiche Eigenschaften aufweist, die ihn von den meisten Krypto-Jacking-Angriffen unterscheiden.

„Erstens werden mehr als eine Kryptowährung vermint – Monero und die Alt-Münze VSD (Vollar). Außerdem verwendet Vollgar einen privaten Pool, um das gesamte Minen-Botnetz zu orchestrieren. Dies ist etwas, das nur ein Angreifer mit einem sehr großen Botnetz in Betracht ziehen würde.“

Harpaz weist auch darauf hin, dass Vollgar im Gegensatz zu den meisten Bergbau-Malware-Programmen versucht, mehrere potenzielle Einnahmequellen zu erschließen, indem er mehrere RATs auf die bösartigen Krypto-Miner einsetzt. „Ein solcher Zugang kann im Dark Web leicht in Geld umgesetzt werden“, fügt er hinzu.

Vollgar arbeitet seit fast zwei Jahren

Der Forscher hat zwar nicht angegeben, wann Guardicore Vollgar erstmals identifiziert hat, aber er gibt an, dass eine Zunahme der Botnet-Aktivität im Dezember 2019 die Firma dazu veranlasst hat, die Malware genauer zu untersuchen.

Eine eingehende Untersuchung dieses Botnetzes ergab, dass der erste aufgezeichnete Angriff auf den Mai 2018 zurückging, was einer Aktivität von fast zwei Jahren entspricht„, so Harpaz.