Geschrieben am

Ausgeklügeltes Botnet entführt Microsoft-Server, um Krypto abzubauen

Die Sicherheitsfirma Guardicore hat eine aktive Malware-Kampagne beschrieben, die seit 2018 Monero und Vollar ausgräbt.

In Kürze

  • Eine Botnet-Kampagne hat MS-SQL-Rechner mit Malware infiziert, um Krypto abzubauen.
  • Die infizierten Server haben Monero und Vollar für die Angreifer abgebaut.
  • Die Kampagne infiziert immer noch täglich etwa 3.000 neue Rechner auf der ganzen Welt.

Guardicore, ein Unternehmen für Rechenzentren und Cloud-Sicherheit, veröffentlichte heute einen Bericht, in dem eine umfangreiche Kampagne eines Botnetzes beschrieben wird, das weltweit Microsoft SQL Server (MS-SQL) Rechner entführt und sie dazu zwingt, die Krypto-Währungen Monero und Vollar abzubauen. Alles in allem ist das ganze eher Schädlich als nützlich für die laufende Bitcoin Revolution und genauso ein Angriff auf alle anderen Kryptowährungen, die diese Rechenleistung benötigen.

BlockchainDie von dem Unternehmen als „Vollgar“ bezeichnete Kampagne – ein Portmanteau von Vollar und vulgär – wurde seit ihrer ersten Entdeckung im Mai 2018 fortgesetzt und infiziert täglich etwa 3.000 neue Rechner in allen möglichen Branchen, darunter auch im Gesundheitswesen und in der Telekommunikation.

Laut Guardicore sind die am meisten infizierten Länder China, Indien, die Vereinigten Staaten, Südkorea und die Türkei, wobei sich die überwiegende Mehrheit der angreifenden Maschinen in China befindet. Ein Höhepunkt der Aktivitäten im Dezember 2019 erregte die Aufmerksamkeit des Unternehmens und führte schließlich zu dem heutigen Bericht.

Während der zweijährigen Tätigkeit ist der Angriffsfluss der Kampagne ähnlich gründlich, gut geplant und laut geblieben„, heißt es im Bericht.

Der „vulgäre“ Teil der Benennung von Guardicore kommt daher, dass die Angreifer aggressiv auf den Besitz der gekaperten Maschinen gedrungen sind. Nachdem der Zugriff nach Brute-Force-Anmeldeversuchen gesichert wurde, ändert das Botnet eine Reihe von Einstellungen auf dem Rechner, um Malware herunterzuladen – aber es eliminiert auch Prozesse, die andere Arten von Malware ermöglichen könnten. Auf diese Weise kann das Botnet so viele Ressourcen des infizierten Rechners wie möglich nutzen.

Monero ist eine Krypto-Währung, die von Botnets häufig über infizierte Computer abgebaut wird. Im Januar entdeckte ein Sicherheitsforscher ein Monero-Abbau-Schema auf einem Webserver des Verteidigungsministeriums der Vereinigten Staaten. Ende letzten Jahres wurde außerdem entdeckt, dass das seit langem bestehende Stantinko-Botnetz YouTube zur Installation von Monero-Bergbaumodulen auf Computern verwendet.

Guardicore hat ein Erkennungsskript und Infektionsindikatoren veröffentlicht, um Server-Administratoren dabei zu unterstützen, festzustellen, ob ihre MS-SQL-Server infiziert sind oder nicht.