dentuma botnet complexa de mineração de criptomoedas com 2 anos de idade

A Guardicore Labs, empresa de cibersegurança, afirma terdentum malware complexo de mineração de criptomoedas com dois anos de existência. Trata-se de um bot malicioso que permaneceu indetectado no setor de mineração de criptomoedas por mais de dois anos.

A revelação surge num momento em que golpistas estão à espreita por toda parte, aproveitando-se da pandemia do coronavírus. Existem muitas instituições de caridade que utilizam criptomoedas e que buscam ajuda para combater a COVID-19, e pesquisadores estão alertando sobre os golpes relacionados.

A ameaça das botnets de mineração de criptomoedas é real.

Denominada “Vollgar”, a ameaça está associada à Vollar (VSD), uma criptomoeda alternativa em desenvolvimento. No entanto, ela tem como alvo sistemas Windows que utilizam servidores MS-SQL. De acordo com a empresa de cibersegurança, existem cerca de meio milhão de máquinas espalhadas pelo mundo que utilizam esses servidores.

Embora essas máquinas sejam raras, seus servidores oferecem poder de processamento significativo. Mais preocupante é o fato de que esses servidores armazenam senhas de usuários, nomes e dados bancários, incluindo informações críticas de cartões de crédito.

Como funciona a botnet de mineração de criptomoedas

O complexo malware de mineração de criptomoedas prospera em servidores MS-SQL. No entanto, o grupo Vollgar tende a eliminar outras atividades de ameaças e implantar suas ferramentas de acesso remoto (RATs), além dos próprios mineradores. O relatório acrescenta ainda que 60% das infecções foram de curta duração; cerca de 20% dos infectados permaneceram infectados por várias semanas, enquanto 10% foram ataques repetidos.

Os ataques apontam para cerca de 120 endereços IP originários da China. No entanto, a Guardicore destaca que esses endereços têm algo em comum: seus servidores estão comprometidos e sendo usados ​​para infectar outros. A empresa de segurança afirma ainda que a culpa recai sobre as empresas de hospedagem corruptas.

As empresas de hospedagem são as culpadas, pois facilitam o uso de seus nomes de domínio e endereços IP por atacantes. Se os provedores não monitorarem as atividades, o aumento dos ataques continuará prejudicando os usuários de criptomoedas por muito tempo.

A botnet de mineração de criptomoedas Vollgar tem como alvos os ataques.

Segundo Ophir Harpaz, pesquisador de cibersegurança da Guardicore Labs, o Vollgar é superior a outras ferramentas de mineração de criptomoedas. O malware mina diversas altcoins, incluindo Vollar e Monero. Além disso, o bot utiliza um pool privado como rede para sua mineração.

O pesquisador observa ainda que o bot possui capacidades de geração de múltiplas receitas. Para isso, ele utiliza diversos BATs (bots de acesso a criptomoedas) além do minerador de criptomoedas, tornando-o uma ferramenta eficaz no mundo do cryptojacking.

A Guardiscore afirma que suas investigações mostram que o primeiro ataque associado à botnet de mineração de criptomoedas foi detectado em maio de 2018. Isso significa que se passaram quase dois anos desde o primeiro registro de atividade.