" Сегодня компания Guardicore, центр обработки данных и облачной безопасности, опубликовала отчет, в котором подробно рассказывается о широкомасштабной ботнет-атаке по заражению оборудования Microsoft SQL Server (MS-SQL) по всему миру и принуждению их к майнингу криптовалют Monero и Vollar.
Названная «Vollgar» - портманто слов «Vollar» и «vulgar» (пер. - "вульгарный") - преступная кампания продолжается с тех пор, как она была впервые обнаружена в мае 2018 года, ежедневно заражая около 3,000 новых машин во всех отраслях промышленности, включая здравоохранение и телекоммуникации.
По данным Guardicore, наиболее инфицированными странами являются Китай, Индия, США, Южная Корея и Турция, причем подавляющее большинство атакованных машин находится в Китае. Пик активности в декабре 2019 года привлек внимание компании, что в конечном итоге привело к проведению расследования.
«В течение двух лет своей деятельности стратегия атак оставалась схожей – тщательно спланированной и скандальной», - говорится в отчете.
«Вульгарная» часть названия вредоносного ПО мотивирована тем, что мошенники всегда были крайне агрессивны и самонадеянны при захвате сотен машин. После обеспечения доступа ботнет изменял ряд параметров в оборудовании для загрузки вредоносных программ, но он также исключал процессы, которые могут включать другие типы вредоносного ПО. Таким образом, ботнет может использовать как можно больше ресурсов зараженной машины.
Monero - это криптовалюта, которую ботнеты часто используют на зараженных компьютерах. В январе другой исследователь безопасности обнаружил схему добычи полезных ископаемых на веб-сервере, управляемом министерством обороны США. Кроме того, в конце прошлого года был обнаружен давно работающий ботнет Stantinko, который использовал YouTube для установки модулей Monero-майнинга на компьютеры.
Guardicore уже выпустила скрипт обнаружения и индикаторы заражения, чтобы помочь администраторам серверов определить, заражены ли их серверы MS-SQL или нет.
