Stantinko Botnet
Det är känt att Stantinko Botnet har varit aktivt sedan 2012. Cyber-skurkarna bakom det har på något sätt lyckats hålla detta botnet aktivt i sju år, vilket är ganska imponerande. Det verkar som om de flesta av systemen, som ingår i Stantinko Botnet, finns i ex-sovjetiska länder - Ryssland, Ukraina, Vitryssland, Kazakstan, etc. Det har uppskattats att Stantinko Botnet består av över 500 000 komprometterade maskiner . De flesta botnät används för DDoS-attacker (Distribuerad-Denial-of-Service). Vad som är intressant med Stantinko Botnet är dock att trots detta stora storlek, är detta botnet ännu inte anställt för en DDoS-attack. Istället har operatörerna av Stantinko Botnet använt det i olika andra kampanjer, inklusive massa skräppostmeddelanden, insamling av känslig information, falska annonsklick, bedrägeri etc.
Innehållsförteckning
Stantinko Botnet används för gruvdrift Monero
Nyligen har operatörerna för Stantinko Botnet valt att lägga till cryptocurrency-gruvdrift i sin lista över uppgifter. De använder en cryptocurrency gruvarbetare som är byggd tack vare ett öppen källkodsprojekt som angriparna har förändrat något. De flesta hot av denna typ är baserade på XMRig , men operatörerna för Stantinko Botnet har istället valt att modifiera och använda projektet 'xmr-stak'. Den gruvarbetare som används av Stantinko Botnet tjänar till att gruva Monero cryptocurrency. Operatörerna för Stantinko Botnet har sett till att dölja gruvmodulen kraftigt för att göra dissekering mycket mer komplex.
Ta tag i IP-adresserna från YouTube-videobeskrivningar
Ett annat dumfekultur som används av operatörerna av Stantinko Botnet är kommunikationsmetoden som används i sina kampanjer. Istället för att använda en fast gruvpool har skaparna av Stantinko Botnet valt att ta IP-adresserna från beskrivningarna av olika YouTube-videor som de laddar upp på plattformen. Naturligtvis är adresserna som Stantinko Botnet använder inte tillgängliga utan måste avkodas först.
Självskyddstekniker
För att säkerställa att deras skadliga program använder all datakraft hos den komprometterade värden har författarna till detta hot inkluderat en funktion som kan upptäcka någon annan cryptocurrency gruvdrift som kan finnas i systemet. Om det finns en annan gruvarbetare som upptäcks kommer skadlig programvara som används av skaparna av Stantinko Botnet att avsluta den. Det verkar som om operatörerna av Stantinko Botnet också har implementerat en självbevarande teknik för sin kryptomineringsmodul. Gruvarbetaren kan bestämma om användaren har startat Windows Task Manager, och om de har det kommer gruvmodulen att upphöra med sin aktivitet. Detta görs för att undvika att bli upptäckt av offret, eftersom det är uppenbart att något är fel när användaren ser hur mycket CPU som används. Detta smarta trick gör att det är svårare att upptäcka verksamheten hos cryptocurrency gruvarbetare och gör det mer troligt för hotet att fortsätta arbeta under en längre period. Stantinko Botnet kan också upptäcka alla anti-skadlig program som kan finnas på den komprometterade maskinen. Men intressant nog finns det inga åtgärder för att dölja hotets skadliga aktivitet även om det finns antivirusprogram på den infekterade värden.
De skuggiga individerna bakom Stantinko Botnet gör ett bra jobb med att utöka sitt nätverk och förbli aktiva, även efter att ha arbetat i sju år. Stantinko Botnet har stor potential att orsaka några allvarliga problem, och efter att ha varit aktiv så länge är det osannolikt att de brottslingar som driver detta botnet har några avsikter att upphöra med verksamhet när som helst snart.
