Aggiornamenti recenti Maggio 22nd, 2020 4:53 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- RagnarLocker: il ransomware usa VirtualBox per sfuggire all’antivirus
- Allarme di Microsoft: “proteggete i server DNS da NXNSAttack
- Attacchi di phishing con un trojan “legale”
- Cyber guerriglia incrociata tra Israele e Iran
- Storie di ransomware: 5000 IT Manager raccontano com’è andata
Ti presento la botnet Vollgar: 2.000 attacchi al giorno negli ultimi 2 anni
Il malware si diffonde attraverso attacchi di brute forcing nei confronti dei database Microsoft SQL per installare backdoor e crypto-miner.
Una gigantesca operazione di pirateria informatica che sarebbe cominciata nel maggio del 2018 e avrebbe colpito centinaia di migliaia di server. A descriverla nei dettagli sono i ricercatori di Guardicore, che in un dettagliato report pubblicato su Internet spiegano il modus operandi del malware Vollgar.
Si tratta di una classica botnet, che prende di mira i server Microsoft SQL (MS-SQL) con l’obiettivo di installare un crypto-miner (un software in grado di sfruttare la potenza di calcolo dei server per generare crypto-valuta – ndr) sulla macchina colpita.
Vollgar, stando a quanto si legge nel report, utilizza una tecnica di attacco “mordi e fuggi”: i server vengono infatti infettati per un periodo limitato di tempo (circa due giorni) anche se in alcuni casi la presenza si prolunga fino a periodi di alcune settimane. Una parte di questi (circa il 10%) vengono infettati a più riprese.
Una strategia che secondo i ricercatori può essere dovuta alla volontà di nascondere la presenza del malware il più a lungo possibile.
L’origine degli attacchi, secondo l’autrice dello studio Ophir Harpaz, sarebbe riconducibile a un centinaio di server, la maggior parte dei quali situati in Cina, che utilizzano tecniche di brute forcing per violare i database e iniettare da remoto i comandi che avviano l’installazione del miner.
Buona parte di questi server sarebbero comunque macchine compromesse dai pirati informatici, che le starebbero usando per propagare l’attacco a un ritmo che ha raggiunto ormai un numero di vittime che varia tra i 2.000 e i 3.000 al giorno.
L’attribuzione a un gruppo cinese, però, sarebbe confermata da un altro elemento: l’interfaccia di controllo di uno dei server Command and Control (C&C) individuati da Guardicore, infatti, è in cinese.
Le funzionalità del malware, spiega la ricercatrice, sono però molto più ampie rispetto alla semplice installazione di un crypto-miner. La botnet, che sfrutta una doppia piattaforma di server C&C, mette infatti a disposizione dei cyber-criminali una serie di funzionalità tipiche dei classici trojan: dalla possibilità di accedere a microfoni e audio a funzioni di keylogging e cattura di schermate in remoto.
Insomma: la campagna di distribuzione del miner potrebbe essere solo la punta dell’iceberg di un’operazione più complessa, o una sorta di “fork” collegata a una classica azione di cyber-spionaggio.
La società di sicurezza ha pubblicato su GitHub uno script che consente di individuare Vollgar (scaricabile a questo indirizzo) per consentire agli amministratori di arginare la diffusione del malware che, al momento, sembra inarrestabile.
Condividi l'articolo
Microsoft al lavoro per risolvere 25 bug di Windows
I veri problemi di Zoom: credenziali di Windows esposte
Articoli correlati
Altro in questa categoria
Sicurezza Gestita: servizio enterprise a una frazione del costo
Approfondimenti
-
CyberArk: prima di tutto proteggere gli account Nell’ecosistema IT gli utenti non sono tutti uguali. Ecco... -
Nuova campagna di truffe per i buoni spesa gratuiti In questi giorni di lockdown, dove le persone sono tenute a... -
Vulnerability Management, cos’è e come implementarlo Quando si tratta di verificare l’esposizione ad attacchi... -
La “nuova normalità” della security secondo Trend Il rapporto della società di sicurezza fa il punto sul... -
Lutech: “ecco il nostro SOC di nuova generazione” L’azienda milanese inaugura il suo nuovo Security...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
RagnarLocker: il ransomware usa VirtualBox per sfuggire... La curiosa tecnica messa a punto dai pirati informatici... -
Allarme di Microsoft: “proteggete i server DNS da... La nuova tecnica di DDoS consente ai pirati informatici... -
Attacchi di phishing con un trojan “legale” La campagna di phishing sfrutta l’emergenza Covid-19 per... -
Cyber guerriglia incrociata tra Israele e Iran I servizi segreti di Tel Aviv hanno messo K.O. i... -
QNodeService: il trojan (quasi) invisibile agli antivirus I suoi autori hanno usato un linguaggio di programmazione...
Attacchi di phishing con un trojan “legale”
La campagna di phishing sfrutta l’emergenza Covid-19 per distribuire NetSupport... Continua →
Vocabolario della sicurezza
Guide alla sicurezza
Il futuro dell’autenticazione multi-fattore è hardware
Il superamento di username e password è una necessità. Ma...
DDoS e attacchi alle Web Application: le nuove sfide
Le tecniche di attacco sono in continua crescita ed evoluzione....
Credential Stuffing: i costi per le aziende e le contromisure
Uno studio del Ponemon Institute, condotto intervistando 569 IT manager...
I rischi di sicurezza nell’IoT e come porre un primo rimedio
Gli accessori connessi a Internet sono la nuova frontiera delle...
Guida completa a Instagram per genitori
Instagram è uno dei social network più conosciuti su internet....