İki Yıldır Faaliyet Gösteren Kötü Amaçlı Madencilik Yazılımının Kimliği Açıklandı

Siber güvenlik şirketi Guardicore Labs, 1 Nisan'da iki yıldır faaliyet gösteren kötü amaçlı bir kripto madencilik botnet'inin kimliğini açıkladı.

‘Vollgar’ adlı botnet, pek bilinmeyen altcoin Vollar'ın (VSD) madenciliğine dayanıyor ve Guardicore'un tahminine göre dünya genelinde sayıları yalnızca 500 bini bulan MS-SQL sunucularını yürüten Windows makinelerini hedef alıyor.

MS-SQL sunucuları, nadir olmalarına rağmen kullanıcı adı, şifre ve kredi kartı bilgileri gibi değerli bilgileri saklamalarının yanı sıra önemli ölçüde işlem gücü de sunuyor.

Sofistike yazılımın kimliği açıklandı

Vollgar, sunucuyu ele geçirdiği zaman diğer tehlikeli oyuncuları devre dışı bırakıyor ve sisteme izinsiz giriş yaparak ve uzaktan erişim araçlarını (RAT) kullanarak kripto madenciliği yapıyor.

Vollgar, sunucuların yüzde 60'ı yalnızca kısa bir süre için ele geçirirken yüzde 20'sini ise birkaç hafta boyunca kullandı. Sunucuların yüzde 10'u ise tekrar saldırıya uğradı. Vollgar saldırıları, çoğu Çin'de yer alan 120'den fazla IP adresi ile gerçekleştirildi. Guardicore, bu adreslerin çoğunun yeni mağdurları hedef almak için kullanılan ele geçirilmiş sunuculara ait olduğunu düşünüyor.

Guidicore, bu durumun bir suçlusu olarak da sunucularını tehdit eden aktörlere göz yuman hosting şirketlerini görüyor:

“Ne yazık ki ihmalkar ve umursamaz hosting şirketleri, bu sorunun bir parçasını teşkil ediyor. Saldırganların IP adreslerini ve alan adlarını kullanarak tüm altyapıyı ele geçirmesine izin veriyorlar. Bu sağlayıcılar olanlara gözlerini yummaya devam ederse, büyük ölçekli saldırılar sürmeye devam edecektir.”

İki kripto paranın madenciliğini yapıyor

Guardicore siber güvenlik araştırmacısı Ophir Harpaz, Cointelegraph'a yaptığı açıklamada Vollgar'ın kendisini diğer cryptojacking saldırılarından ayıran bazı özellikleri olduğunu söyledi:

“İlk olarak, birden fazla kripto paranın madenciliğini yapıyor: Monero ve altcoin VSD (Vollar). Ek olarak Vollgar, tüm madencilik botnet'ini organize etmek için özel bir havuz kullanıyor. Bu, yalnızca çok büyük bir botnet'e sahip bir saldırganın yapmayı düşünebileceği bir şey.”

Harpaz, diğer birçok kötü amaçlı madencilik yazılımının aksine Vollgar'ın birden çok RAT kullanarak olası gelir kaynaklarını artırdığını açıkladı. ''Bu tür bir erişimi dark web üzerinde kolaylıkla paraya dönüştürebilir.''

İki yıldır faaliyette

Araştırmacı, Guardicore'un Vollgar'ı ilk ne zaman tespit ettiğini açıklamadı fakat botnet'in faaliyetlerinin Aralık 2019'da giderek artış göstermeye başladığını, bu nedenle yazılımı daha yakından incelemeye başladıklarını belirtti.

“Botnet ile ilgili yaptığımız detaylı bir araştırma, bizi ilk saldrının Mayıs 2018'de gerçekleştirildiğine götürdü. Bu da iki yıldır faaliyet gösteriyor demektir.''

COVID-19 fırsatçıları

Siber güvenlik araştırmacıları, son haftalarda corona virüs endişesinden faydalanmak isteyen dolandırıcılar alarma geçti.

Birleşik Krallık'lı düzenleyiciler, geçtiğimiz hafta Hastalık Kontrol ve Önleme Merkezi ve Dünya Sağlık Örgütü gibi davranarak insanları zararlı bağlantılara yönlendiren veya Bitcoin (BTC) bağışı alan dolandırıcılara karşı uyardı.

Mart ayının başında ise corona virüsün yayılma haritasını sunduğunu iddia eden fakat kilit ekranı saldırısı düzenleyen CovidLock tespit edildi.