Grupa stojąca za botnetem Vollgar obrała sobie za cel bazy MS SQL z adresem IP rozpoczynającym się od 120+. Głównym celem atakujących jest kopanie kryptowalut – na ten moment są to V-Dimension (Vollar) oraz Monero. Atak jest aktywny od maja 2018.
Statystycznie 61% maszyn zostało zainfekowanych na okres maksymalnie dwóch dni (lub jeszcze krócej). 21,8% znajdowało się w rękach przestępców przez okres 7-14 dni. Na koniec – najważniejsza statystyka – 17,1% maszyn zainfekowano ponownie. Specjaliści są zdania, że ponowne przejęcia są efektem niewłaściwie wdrożonych (lub ich braku) mechanizmów zabezpieczających. Malware nie został kompletnie usunięty z serwera – stąd ponowna infekcja.
Przestępcy wykorzystują brute force do włamania się na maszynę. Na ten moment celem jest kopanie kryptowalut, jednak nie należy wykluczać scenariusza w którym atakujących wykradają także dane z zainfekowanych serwerów.
W jaki sposób zweryfikować, czy maszyna wpadła w ręce atakujących?
Specjaliści z Guardicore na swoim repozytorium GitHub opublikowali listę wskazówek, która ma w tym pomóc. Należy zwrócić uwagę, czy na urządzeniu nie znajdują się skrypty lub pliki binarne z nazwami powiązanymi z tą grupą przestępczą. Dalej, czy nie występują połączone domeny i adresy IP serwerów. Dodatkowo warto zwrócić uwagę, czy aktualnie wykonywane zadania lub działające usługi nie zostały skonfigurowane przez kogoś z zewnątrz. Na koniec – zweryfikować, czy nie zostały nadane nowe dane uwierzytelniające (backdoor).
Jak zabezpieczyć się przed atakiem?
Najprościej, wdrażając zbiór dobrych praktyk IT. Nie udostępniać serwerów/baz w internecie, co w oczywisty sposób ograniczy dostęp do nich podmiotom z zewnątrz. Wdrożyć mechanizmy kontroli dostępu oparte na białej liście (whitelisting) – liście adresów IP, które mogą skontaktować się z określonym serwerem. Kolejną ważną rzeczą jest wprowadzenie ograniczonej liczby dopuszczalnych prób błędnego logowania. W ten sposób najprościej uniemożliwić przeprowadzenie ataku z wykorzystaniem techniki brute force… To właśnie z niej korzystają przestępcy.