Ботнет заразил тысячи серверов Microsoft для добычи криптовалют Vollar и Monero
С мая 2018 года до трех тысяч серверов под управлением Microsoft SQL ежедневно становились жертвой вредоносного ПО, которое использовалось в том числе для установки криптомайнеров. Ситуация детально раскрыта в отчете специалистов по кибербезопасности Guardicore Labs.
Злоумышленникам удалось скрыто добывать Monero и еще один привязанный к доллару альткоин Vollar (VDS), который сочетает элементы конфиденциальности и смарт-контрактов.
В названии ботнета Vollgar есть отсылка к этому токену, а также грубому способу получения доступа к серверу жертвы путем перебора возможных комбинаций пароля (от англ. burglar - "взломщик").
Заражению подверглось оборудование организаций в сферах здравоохранения, авиации, образования, IT и телекоммуникаций в Китае, Индии, Южной Корее, Турции и США.
"Базы этих серверов привлекательны для злоумышленников за счет огромных объемов хранимых в них данных, таких как имена пользователей, пароли и данные кредитных карт", - указано в обзоре.
Атаки Vollgar исходили от более чем 120 IP-адресов, преимущественно из Китая. По мнению специалистов, это скомпрометированные машины, перепрофилированные для сканирования и заражения новых жертв.
Жертвы далеко не всегда догадывались о действиях ботнета. По данным Guardicore Labs, каждый пятый взломанный сервер оставался зараженным на протяжении одной-двух недель.
Исследователи подчеркнули, что злоумышленники успешно обходили антивирусы и технологии EDR.
Guardicore Labs обнародовали скрипт, который позволит потенциальным жертвам выявить признаки вмешательства ботнета в системы.
