Investigadores descubren que Botnet ataca a servidores de Microsoft para extraer criptomonedas

Investigadores descubren que Botnet ataca a servidores de Microsoft para extraer criptomonedas
Tabla de Contenidos

La empresa de seguridad en la nube y administración de centros de datos Guardicore ha informado sobre un nuevo malware de botnet que se ha infiltrado en computadoras que se ejecuta en el software Microsoft SQL Server para extraer criptomonedas.

Según un informe publicado el 1 de abril por Guardicore, la botnet ha estado en funcionamiento desde marzo de 2018 infectando innumerables servidores informáticos en varios países. El informe de Guardicore revela que la botnet denominada Vollgar utiliza las máquinas afectadas para extraer las criptomonedas Monero [XMR] y Vollar [VDS]. El nombre proviene de una amalgama de las palabras Vollar y vulgar.

Guardicore explica que los atacantes usan métodos burdos para obtener acceso a estos sistemas, incluida la instalación de registradores de teclas para robar contraseñas y forzar la entrada. Una vez que los atacantes han ingresado, instalan herramientas de acceso remoto (RAT) que les permiten descargar software de minería de criptomonedas y malware que deshabilita los mecanismos de seguridad del sistema, tales como antivirus y EDR (si están presentes).

El informe detalla que las computadoras más afectadas se encuentran en China, Turquía, Corea del Sur, India y los Estados Unidos de América. Parece, según el análisis de Guardicore, que el centro de comando y control para la identificación de la botnet en China, pero es difícil determinar dónde, en particular, ya que C&C podría ser un servidor comprometido que no es propiedad de los atacantes.

Ejecutando nodos de Monero [XMR], local y remoto

Según el informe, se infectan aproximadamente entre 2.000 y 3.000 computadoras todos los días y «las víctimas pertenecen a diversos sectores de la industria, incluidos el cuidado de la salud, la aviación, la informática y las telecomunicaciones y la educación superior».

El investigador de seguridad de Guardicore, Ophir Harpaz, dijo que afortunadamente la mayoría de las computadoras infectadas se desinfectaron en un corto período de tiempo. «Sin embargo, [una minoría] casi el 20% de todos los servidores violados permanecieron infectados durante más de una semana e incluso más de dos semanas». Esto muestra que este malware pudo funcionar sin detección durante mucho tiempo.

Guardicore proporciona algunas recomendaciones sobre cómo lidiar con la botnet en caso de que haya sido atacado.

«Si está infectado, recomendamos poner en cuarentena inmediatamente la máquina infectada y evitar que acceda a otros activos en la red». Si aún no está infectado o si desea proteger sus servidores contra la reinfección, «también es importante cambiar todas las contraseñas de sus cuentas de usuario MS-SQL por contraseñas seguras».

RELATED POSTS

Síguenos en Redes

Cripto Tutoriales

Cripto Reviews

Ads