شناسایی بات‌نت Vollgar

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت امنیت سایبری گاردیکور لبز (Guardicore Labs) بات‌نتی به نام ولگار (Vollgar) شناسایی کرده‌اند که نزدیک به دو سال در حوزه استخراج ارز رمز فعال بوده است. 

بدافزار ولگار علیه پایگاه داده‌های سرورهای مایکروسافت اس‌کیو‌ال (MSSQL) سیستم‌های ویندوزی حملات بروت فورس تدارک دیده و پس از کنترل حساب کاربری ادمین، در این سرورها ماینرهای ارز مونرو و آلت‌کوین ولگار، ابزارهای دسترسی از راه دور و چندین در پشتی راه‌اندازی می‌کند. 

به گفته کارشناسان این شرکت، ولگار از ماه مه سال 2018 فعال بوده و در حال حاضر نیز 2000 تا 3000 پایگاه داده را در یک روز آلوده می‌سازد. این بدافزار قربانیان خود را از میان بخش‌های بهداشت و درمان، هوانوردی، آی‌تی و مخابرات و آموزش عالی انتخاب می‌کند. 

تاکنون حملات بروت‌فورس به سرورها از 120 آدرس آی‌پی انجام‌شده است که بیشتر آن‌ها در چین واقع‌شده و متعلق به رایانه‌های آلوده‌ای بوده‌اند که برای اهداف جدید مورداستفاده قرارگرفته‌اند. 

برخی از این آدرس‌ها بیش از 3 ماه فعال بوده‌اند. ولگار در بیش از 60 درصد از سیستم‌های آلوده، دو هفته و در 20 درصد سیستم‌ها یک هفته باقی‌مانده است.  

قریب به 10 درصد از قربانیان مجدداً آلوده‌شده‌اند، به این دلیل که ادمین‌ها کلیه بخش‌های بدافزار را آن‌چنان‌که باید حذف نکرده و فرصتی برای نصب مجدد آن فراهم کرده‌اند. 

کارشناسان گاردیکور یک منبع ویژه‌ای در گیت‌هاب ایجاد کرده‌ و در آن اسکریپت‌هایی برای شناسایی فایل‌ها و در پشتی‌های ایجاد‌شده توسط ولگار راه‌اندازی کرده‌اند. این منبع به قربانیان کمک می‌کند از شر بات‌نت یادشده خلاص شوند. 

محققان گاردیکور بر این باورند که در حال حاضر 30 بات‌نت ماینر در اینترنت فعال هستند و روزانه در هزاران سیستم در سراسر دنیا به جستجو می‌پردازند و پروتکل‌های SSH ،SMB ،FTP ،HTTP و MS-SQL نیز بیشترین میزان اسکن را از سوی بات‌نت‌ها داشته‌اند.