Guardicore Labs: ботнет Vollgar атакует серверы Microsoft SQL для скрытого майнинга криптовалют

Фирма Guardicore Labs, занимающаяся исследованиями в сфере кибербезопасности, сообщила о ботнете Vollgar, который атакует серверы баз данных Microsoft SQL для скрытого майнинга Vollar и XMR.

По данным Guardicore Labs, на протяжении последних нескольких недель злоумышленникам удавалось заражать около 2 000-3 000 серверов каждый день. Хакеры осуществляют атаку, подбирая пароль на серверах с низким уровнем защиты. После взлома меняется конфигурация системы, чтобы хакеры могли привести в действие необходимые команды и установить вредоносные программы для майнинга.

От ботнета Vollgar уже пострадали организации в сфере здравоохранения, образования, авиации, информационных технологий и телекоммуникаций. В основном ботнет ориентирован на Китай, Индию, Южную Корею, Турцию и США. Guardicore Labs выяснила, что командный сервер хакеров находится в Китае, однако как ни парадоксально, этот сервер сам неоднократно подвергался атакам.

Специалисты Guardicore Labs сообщили, что среди файлов на управляющем сервере был обнаружен инструмент для атак на MS-SQL, с помощью которого проводилось сканирование диапазонов IP-адресов, а также осуществлялся взлом методом подбора паролей и удаленное совершение команд. 

Кроме того, было найдено две программы на китайском языке, вносящих изменения в значение хеш-функции, в портативный файловый HTTP-сервер, FTP-сервер, а также в копию клиента mstsc.exe (клиент службы терминалов Microsoft) для подключения к жертвам через протокол удаленного рабочего стола (RDP).

Guardicore Labs отметила, что хакеры атакуют серверы баз данных Microsoft SQL из-за их высокой производительности и возможности хранить большие объемы данных. Эти серверы могут содержать конфиденциальную информацию, в том числе имена пользователей, пароли и данные по кредитным картам. При этом такие сведения хакеры могут заполучить с помощью обычного «брутфорса». 

Чтобы защититься от взлома, Guardicore Labs рекомендует администраторам серверов использовать сложные пароли. Также компания опубликовала скрипт на GitHub, чтобы организации, которые могут стать потенциальными жертвами ботнета Vollgar, смогли проверить, подвергались ли их системы вмешательству с его стороны.

Напомним, что в прошлом году был обнаружен ботнет хакерской группы Outlaw, распространяющий вредоносную программу для майнинга XMR. Кроме того, ботнеты зачастую используются для рассылки по электронной почте писем с требованием выкупа в криптовалютах за нераспространение компрометирующей информации.