Botnet kaapt al bijna twee jaar lang Microsoft SQL-servers

Een malware-botnet vuurt al sinds mei 2018 brute force aanvallen af op Microsoft SQL-databases. Met deze aanvallen neemt het botnet administrator-accounts over. Vervolgens installeert de bot scripts voor cryptocurrencymining op het onderligende besturingssysteem.

Het botnet kwam naar voren in een rapport van cyberbeveiliging bedrijf Guardicore en is nog steeds actief. Elke dag tast het botnet ongeveer 3000 nieuwe MSSQL-databases aan. Guardicore gaf de naam ‘Vollgar’ aan het botnet. Deze naam is gebaseerd op de neiging van het botnet om Vollar (VDS) cryptocurrency te minen. Daarnaast minet het botnet ook Monero (XMR), de altcoin die tegenwoordig het meest gemined wordt door botnets.

Volgens Ophir Harpas, een cyberbeveiligingsonderzoeker bij Guaridcore zijn de aanvallen van het Vollgar botnet de laatste twee jaar hetzelfde gebleven: gronding, goedgepland en luidruchtig. “Het gaat waarschijnlijk om aangetaste machines die de botnets hergebruiken om nieuwe slachtoffers te vinden en infecteren”, legt Harpas uit. Sinds mei 2018 heeft het botnet meer dan 120 IP-adressen gebruikt om aanvallen te lanceren. De meeste van deze IP-adressen zijn afkomstig uit China. 

Detectiescripts beschikbaar op Github

Om MSSQL-admins te helpen die slachtoffer zijn geworden van het botnet, heeft Guardicore een GitHub-gegevensbank opgezet met scripts voor het detecteren van bestanden en backdoor-accounts die zijn opgezet door de Vollgar malware.

Volgens Harpaz is het botnet constant in beweging. Meer dan 60% van de gekaapte servers blijft hoogstens twee dagen geïnfecteerd door de malware. 20% van de servers blijft geïnfecteerd voor langer dan een week. Opvallend is dat 10% van alle slachtoffers na het verwijderen van de malware opnieuw wordt geïnfecteerd. Dat kan voorkomen als administrators niet alle onderdelen van de malware verwijderen. Dankzij de scrips die Guardicore beschikbaar stelt op Github kunnen admins de malware grondig verwijderen. 

Botnet-encyclopedie

Volgens Guardicore zijn cryptomining-groepen op zoek naar twee dingen: goede apparaten en massa’s aan doelwitten. Database-servers en RDP-servers draaien vaak op apparaten met veel computerkracht, wat ze uitermate geschikt maakt voor cryptomining. 

Aanvallers willen zo graag toegang tot de machines met veel computerkracht, dat ze opmerkelijk veel moeite doen in het vernietigen van de processen en bestanden van andere aanvallers. Ook in de code van Vollgar zijn functies gevonden voor het verwijderen van scripts van concurrerende botnets. 

Guardicore is van plan om meer data te publiceren over de botnets die het beveiligingsbedrijf opspoort. Hierdoor zijn admins in staat om botnets sneller te ontdekken. Om dat te verwezenlijken, werkt Guardicore aan een Botnet-encyclopedie om data te delen met de beveiligingscommunity.