Crypto-Mining-Botnet greift seit zwei Jahren Microsoft-SQL-Server an

Der Sicherheitsanbieter Guardicore hat ein Botnet analysiert, das bereits seit Mai 2018 aktiv ist. Es startet Brute-Force-Angriffe gegen Server, die Microsoft-SQL-Datenbanken hosten. Ziel ist es, die Kontrolle über ein Administrator-Konto zu erhalten, um auf dem Betriebssystem Skripte zum Schürfen von Kryptowährung zu installieren. Derzeit werden täglich rund 3000 neue MS-SQL-Datenbanken infiziert.

Benannt ist das Botnet nach der Kryptowährung Vollgar, die es neben Monero schürft. „In den vergangenen zwei Jahren ist der Angriffsfluss der Kampagne konstant geblieben – gründlich, gut geplant und lautstark“, sagte Ophir Harpaz, Cybersecurity-Forscherin bei Guardicore.

Die Brute-Force-Angriffe, bei denen das Passwort für MS-SQL-Server erraten werden, haben sich seit 2018 weltweit verbreitet. Guardicore führte sie zu mehr als 120 IP-Adressen zurück – die meisten stammten aus China. „Es handelt sich sehr wahrscheinlich um kompromittierte Maschinen, die eingesetzt werden, um neue Opfer zu suchen und zu infizieren“, ergänzte Harpaz. Einige IP-Adressen seien nur sehr kurzzeitig eingesetzt worden, andere seien indes mehr als drei Monate aktiv gewesen.

Das Botnet gewinne täglich nicht nur neue Server hinzu, es verliere auch zahlreiche Systeme. Mehr als 60 Prozent der infizierten Server würden innerhalb von zwei Tagen bereinigt. Allerdings blieben fast 20 Prozent für mehr als eine Woche unter der Kontrolle der Cyberkriminellen. Zudem würden 10 Prozent der Systeme mehr als ein Mal mit der Malware infiziert.

In solchen Fällen sei es den Administratoren nicht gelungen, alle Malware-Module vollständig zu entfernen, was es der Schadsoftware erlaube, sich selbst erneut zu installieren. Um den Betroffenen zu helfen veröffentlichte Guardicore nun auf GitHub mehrere Skripte, die helfen sollen, alle Dateien und Konten zu erkennen, die von der Vollgar-Malware erstellt wurden.

Vollgar ist bereits das fünfte Kryptomining-Botnet für MS-SQL-Datenbanken, das Guardicore seit Mai 2017 entdeckt hat. Insgesamt gebe es wohl mehr als 30 solcher Botnets, die weltweit täglich mehrere Zehntausend Server kontrollieren, so Harpaz weiter. Viele beschränkten sie aber nicht auf eine spezielle Servertechnik. Neben MS SQL hätten es Cyberkriminelle auch auf Protokolle wie SSH, SMB, FTP und HTTP abgesehen.

Generell nehmen die Angreifer laut Guardicore für Kryptomining-Kampagnen Systeme mit einer hohen Rechenleistung ins Visier. „Die Angreifer sind so sehr auf diese Maschinen angewiesen, dass sie erhebliche Anstrengungen unternehmen, um die Prozesse und Dateien anderer Angreifer zu zerstören, um die volle Kontrolle über die kostbare Ressource zu erlangen“, sagte Harpaz gegenüber ZDNet USA.

Zudem kündigte sie weitere Veröffentlichungen über Botnetze an. „Wir arbeiten derzeit an einer Botnet-Enzyklopädie, um unsere einmaligen Daten der Sicherheits-Community zur Verfügung zu stellen. Sie umfasst aktive und frühere Kampagnen.“