هک سروهای MSSQL برای استخراج ارز رمز

این شبکه مخرب همچنان فعال بوده و در هرروز به‌طور میانگین تقریباً ۳ هزار سرور جدید MSSQL را به تسخیر خود درمی‌آورد.
بر اساس توانایی استخراج ارز رمز Vollar و رفتار به گفته محققان مبتذل (Vulgar) آن، این شبکه مخرب، Vollgar نام‌گذاری شده است.


جریان حمله طی دو سال فعالیت گردانندگان Vollgar تغییر چندانی نداشته است. اگرچه محققان روش‌های بکار رفته توسط این افراد را برنامه‌ریزی‌شده و درعین‌حال پرهیاهو توصیف کرده‌اند.
اجرای حملات سعی‌وخطای بر ضد سرورهای MSSQL موضوع جدیدی نیست. اما محققان بیش از ۱۲۰ نشانی IP را که از می ۲۰۱۸ از آن‌ها برای اجرای این حملات توسط مهاجمان Vollgar بهره گرفته‌شده شناسایی کرده‌اند.

Malware Botnet
Malware Botnet



محققان معتقدند که اکثر این نشانی‌ها مربوط به دستگاه‌های هک شده‌ای هستند که از آن‌ها برای آلوده کردن سرورهای دیگر استفاده‌شده است. درحالی‌که برخی نشانی‌های مذکور برای مدتی محدود و تنها در چند رخداد نقش داشته‌اند تعدادی دیگر از آن‌ها بیش از سه ماه فعال بوده‌اند.
همچنین این شبکه مخرب دائماً در تکاپوی از دست دادن سرورهای آلوده و افزودن سرورهای جدید به خود است. تخمین زده‌شده که بدافزار استخراج‌کننده ارز رمز مورداستفاده Vollgar در بیش از ۶۰ درصد از سرورهای MSSQL آلوده حداکثر دو روز فعال بوده است.


این بدافزار بر روی حدود ۲۰ درصد از سیستم‌های MSSQL نیز بیش از یک هفته فعال بوده است. این احتمال می‌رود که بدافزار موفق به عبور از سد نرم‌افزارهای امنیتی نصب‌شده (در صورت وجود) بر روی این سرورها شده باشد.


جالب اینکه ۱۰ درصد نیز بیش از یک‌بار به بدافزار آلوده‌شده‌اند. یکی از دلایل آن می‌تواند عدم حذف صحیح بدافزار توسط مدیر سیستم و بازماندن درب برای نصب مجدد بدافزار باشد.
اسکریپت‌های شناسایی و فهرست حساب‌های کاربری ساخته‌شده توسط Vollgar از طریق نشانی زیر قابل‌دسترس است:

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

محققان از سال ۲۰۱۷ تاکنون علاوه بر Vollgar چهار شبکه مخرب دیگر بانام‌های Bondnet، Hex-Men، Smominru و Nansh۰u را که به‌طور خاص پایگاه‌های داده MSSQL را مورد هدف قرار می‌داده‌اند را شناسایی کرده‌اند. بااین‌حال محققان تعداد شبکه‌های مخرب استخراج‌کننده ارز رمز را بیش از ۳۰ مورد تخمین می‌زنند. شبکه‌هایی که هزاران و بعضاً ده‌ها هزار ماشین در سرتاسر جهان را تحت سیطره خود داشته و از آن‌ها برای اجرای انواع حملات سایبری استفاده می‌کنند.


برخلاف Vollgar که تنها بر روی پایگاه‌های داده MSSQL تمرکز دارد اکثر این شبکه‌های مخرب، دامنه اهداف خود را محدود به سرویس‌دهنده‌ای خاص نکرده‌اند.
در اکثر مواقع پویش‌های انجام‌شده جهت گسترش شبکه‌های مخرب مجموعه‌ای از نرم‌افزارها و سرویس‌دهندگانی را شامل می‌شود که از آن‌ها برای رخنه و جاسازی بدافزار استفاده می‌گردد. SSH، SMB، FTP، HTTP و MSSQL پودمان‌ها / سرویس‌دهندگانی هستند که درگاه‌های مرتبط با آن‌ها بیشترین فراوانی را در مورد بهره‌جویی قرار گرفتن در جریان این پویش‌ها داشته‌اند.