Vollgar

Os servidores do serviço MS-SQL (Microsoft SQL) voltaram a ser alvo de cibercriminosos. Nesta nova campanha, os atacantes estão implantando uma ameaça chamada Vollgar. No entanto, o ataque não é muito elegante. Em vez de procurar possíveis vulnerabilidades em softwares desatualizados, os invasores estão procurando por servidores MS-SQL que possam estar acessíveis via Internet. Se a verificação retornar um resultado positivo, a ameaça Vollgar tentará usar força bruta para obter as credenciais de login necessárias. A menos que o administrador do servidor visado tenha usado uma senha forte, os invasores poderão sequestrar o servidor MS-SQL por força bruta.

Depois que o gerenciador de ameaças Vollgar comprometer o servidor MS-SQL visado, ele instalará um Trojan backdoor no sistema. Isso permite que os atacantes executem comandos remotos no host infectado. Segundo relatos, o malware Vollgar tem estado muito ativo - existem aproximadamente 2.000 - 3.000 servidores MS-SQL que a ameaça infecta por dia. Os servidores direcionados parecem estar operando em vários setores, tais como TI, assistência médica, telecomunicações, etc.

Assim que o Trojan backdoor for inicializado com sucesso, ele irá:

• Usar scripts de download criados antes do ataque que plantarão cargas úteis corrompidas adicionais em várias pastas do sistema, o que tornará muito mais difícil remover a ameaça.
• Usar um script que interrompa certos processos que podem estar usando muito poder de computação.
• Desativar qualquer software de criptografia presente no sistema visado.
• Implantar aplicativos de mineração de criptomoeda e RATs (Trojans de Acesso Remoto) no sistema comprometido.

A maioria dos mineradores de criptomoedas implantados pelos cibercriminosos se concentram na mineração de Monero. No entanto, o malware Vollgar não extrai apenas o Monero, mas também uma criptomoeda menos conhecida chamada Vollar. O malware Vollgar pode usar um módulo de chaves do Registro para coletar dados confidenciais. Essa ameaça provavelmente injetará cargas úteis corrompidas adicionais no sistema infectado. Provavelmente, ele também é capaz de gerenciar os processos do sistema e coletar informações sobre o software e o hardware do host.

A ameaça Vollgar é capaz de causar muitos danos, e os administradores de sistemas precisam otimizar o seu jogo se quiserem manter os seus servidores seguros.