Найден сложный ботнет, который работал в течение двух лет

Компания по кибербезопасности Guardicore Labs обнаружила ботнет для майнинга криптовалюты, который незаметно работал в течение двух лет.

Ботнет назван Vollgar в честь добываемой им малоизвестной монеты Vollar (VSD). Он нацелен на серверы, на которых установлена система Microsoft SQL Server для управления базами данных. По подсчетам исследователей, ботнет охватывает более полумиллиона зараженных устройств.

Серверы с MS SQL не только обладают значительной вычислительной мощностью для обработки данных, но и хранят ценную информацию, такую как имена пользователей, пароли и данные кредитных карт.

После заражения сервера, Vollgar тщательно убивает процессы других вредоносных программ, а затем развертывает несколько бэкдоров, троянов удаленного доступа (RAT) и майнеры Vollar и Monero. Исследователи отмечают, что ботнет использует для майнинга Vollar частный пул. По мнению исследователей, такой пул может себе позволить только очень крупный ботнет.

Guardicore Labs выяснила, что 60% зараженных устройств быстро вычисляют ботнет и удаляют его из систем, но 20% серверов остаются инфицированными в течение нескольких недель. Атаки на серверы ведутся со 120 IP-адресов, большинство из которых расположены в Китае, но к ним подключаются и зараженные устройства.

Исследователи возлагают вину за распространение ботнета на хостинговые компании, которые зачастую закрывают глаза вредоносные программы.

«К сожалению, неосведомленные или небрежные провайдеры и хостинговые компании являются частью проблемы, поскольку они позволяют злоумышленникам использовать IP-адреса и доменные имена для размещения вредоносных инфраструктур. Если эти компании продолжат игнорировать угрозы, то массовые атаки продолжат процветать и будут действовать на зараженных машинах в течение длительного времени», — говорят исследователи.