Crypto-Mining-Botnet greift seit zwei Jahren Microsoft-SQL-Server an

Der Sicherheitsanbieter Guardicore hat ein Botnet analysiert, das bereits seit Mai 2018 aktiv ist. Es startet Brute-Force-Angriffe gegen Server, die Microsoft-SQL-Datenbanken hosten. Ziel ist es, die Kontrolle über ein Administrator-Konto zu erhalten, um auf dem Betriebssystem Skripte zum Schürfen von Kryptowährung zu installieren. Derzeit werden täglich rund 3000 neue MS-SQL-Datenbanken infiziert.

Benannt ist das Botnet nach der Kryptowährung Vollgar, die es neben Monero schürft. „In den vergangenen zwei Jahren ist der Angriffsfluss der Kampagne konstant geblieben – gründlich, gut geplant und lautstark“, sagte Ophir Harpaz, Cybersecurity-Forscherin bei Guardicore.

Die Brute-Force-Angriffe, bei denen das Passwort für MS-SQL-Server erraten werden, haben sich seit 2018 weltweit verbreitet. Guardicore führte sie zu mehr als 120 IP-Adressen zurück – die meisten stammten aus China. „Es handelt sich sehr wahrscheinlich um kompromittierte Maschinen, die eingesetzt werden, um neue Opfer zu suchen und zu infizieren“, ergänzte Harpaz. Einige IP-Adressen seien nur sehr kurzzeitig eingesetzt worden, andere seien indes mehr als drei Monate aktiv gewesen.

Das Botnet gewinne täglich nicht nur neue Server hinzu, es verliere auch zahlreiche Systeme. Mehr als 60 Prozent der infizierten Server würden innerhalb von zwei Tagen bereinigt. Allerdings blieben fast 20 Prozent für mehr als eine Woche unter der Kontrolle der Cyberkriminellen. Zudem würden 10 Prozent der Systeme mehr als ein Mal mit der Malware infiziert.

In solchen Fällen sei es den Administratoren nicht gelungen, alle Malware-Module vollständig zu entfernen, was es der Schadsoftware erlaube, sich selbst erneut zu installieren. Um den Betroffenen zu helfen veröffentlichte Guardicore nun auf GitHub mehrere Skripte, die helfen sollen, alle Dateien und Konten zu erkennen, die von der Vollgar-Malware erstellt wurden.

Vollgar ist bereits das fünfte Kryptomining-Botnet für MS-SQL-Datenbanken, das Guardicore seit Mai 2017 entdeckt hat. Insgesamt gebe es wohl mehr als 30 solcher Botnets, die weltweit täglich mehrere Zehntausend Server kontrollieren, so Harpaz weiter. Viele beschränkten sie aber nicht auf eine spezielle Servertechnik. Neben MS SQL hätten es Cyberkriminelle auch auf Protokolle wie SSH, SMB, FTP und HTTP abgesehen.

Generell nehmen die Angreifer laut Guardicore für Kryptomining-Kampagnen Systeme mit einer hohen Rechenleistung ins Visier. „Die Angreifer sind so sehr auf diese Maschinen angewiesen, dass sie erhebliche Anstrengungen unternehmen, um die Prozesse und Dateien anderer Angreifer zu zerstören, um die volle Kontrolle über die kostbare Ressource zu erlangen“, sagte Harpaz gegenüber ZDNet USA.

Zudem kündigte sie weitere Veröffentlichungen über Botnetze an. „Wir arbeiten derzeit an einer Botnet-Enzyklopädie, um unsere einmaligen Daten der Sicherheits-Community zur Verfügung zu stellen. Sie umfasst aktive und frühere Kampagnen.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Durchgesickerte Daten: Twitch dementiert Verlust von Passwörtern

Die Angreifer haben offenbar keinen Zugriff auf die Systeme zur Speicherung von Anmeldedaten. Laut Twitch…

15 Stunden ago

Botnet MyKings nimmt mit Kryptomining fast 25 Millionen Dollar ein

Avast findet die Malware seit Anfang 2020 auf 144.000 Computern. MyKings nutzt die Rechenleistung von…

16 Stunden ago

So wehren Formel-1-Teams Cyberangriffe ab

Die Formel 1 ist ein hochkarätiger Hightech-Sport, der die Aufmerksamkeit von Cyber-Kriminellen und Hackern auf…

21 Stunden ago

Ransomware macht 5,2 Milliarden Dollar an Bitcoin-Transaktionen aus

Das US-Finanzministerium meldet, dass 5,2 Milliarden Dollar an Bitcoin-Transaktionen (BTC) im Zusammenhang mit den 10…

21 Stunden ago

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

5 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

6 Tagen ago