Le botnet Vollgar infecte jusqu’à 3000 serveurs Microsoft MS-SQL par jour pour miner la cryptomonnaie Monero ou Vollar
Par Cyril Pagani 
C’est ce que révèle la société de sécurité Guardicore dans un rapport publié le 1er avril 2020 et ce n’est pas une blague même si certains préféreraient que cela en soit une.
« La campagne Vollgar: les serveurs MS-SQL attaqués » titre le rapport de Guardicore !
Jusqu’à 3000 machines infectées par jour dans le monde avec un botnet surnommé Vollgar et qui est très agressif pour pirater ces serveurs informatiques Microsoft SQL Server (MS-SQL) afin de faire du minage de cryptomonnaies, Monero (XMR) ou Vollar (V-Dimension).
Cette campagne de piratage a débuté en 2018, selon le rapport de Guardicore, les pays les plus touchés sont la Chine, l’Inde, les États-Unis, la Corée du Sud et la Turquie.
Après avoir sécurisé l’accès après des tentatives de connexion par force brute sur ces machines Windows exécutant des serveurs MS-SQL, le botnet modifie un certain nombre de paramètres sur la machine, et installe des backdoors pour télécharger les logiciels malveillants.
Les logiciels malveillants ou malwares peuvent être des outils d’accès à distance multifonctionnels (RAT) et surtout des logiciels de minage de cryptomonnaie afin de miner notamment du Monero, la crypto monnaie favorite des hackers et pirates informatiques.
Les attaques de Vollgar proviennent de plus de 120 adresses IP, dont la grande majorité se trouve en Chine indique le rapport.
Ces adresses ip sont certainement des serveurs informatiques déjà infectés et qui tentent de pirater d’autres ordinateurs.
Le rapport indique que 60% des machines infectées le sont pour une courte période mais 20% le sont pour plus d’une ou deux semaines.
10% des machines sont réinfectées par la suite, ce qui indique que les administrateurs serveurs n’ont pas enquêté suffisamment sur les logiciels malveillants installés sur les machines.
Le fait que des serveurs informatiques restent infectés une ou deux semaines indique comment sont bien cachés les logiciels malveillants, des pirates informatiques toujours plus malins.
Afin d’installer ces logiciels de minage crypto pirates, les hackers doivent pénétrer sur les serveurs informatiques, tout commence par des tentatives de connexion par force brute MS-SQL qui finissent donc par aboutir et qui vont permettre aux cybercriminels de faire des modifications en base de données.
« l’attaquant effectue une série d’étapes pour rendre le système aussi prêt à l’emploi que possible. Par exemple, l’attaquant valide la disponibilité de certaines classes COM – WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0 et Windows Script Host Object Model (wshom). Ces classes prennent en charge à la fois les scripts WMI et l’exécution de commandes via MS-SQL, qui sera ensuite utilisé pour télécharger le binaire malveillant initial. L’attaquant Vollgar s’assure également que les fichiers stratégiques tels que cmd.exe et ftp.exe disposent des autorisations d’exécution. » indique le rapport de Guardicore
Vous pouvez lire en détail l’étude et le rapport de la société sur les procédures employées par les pirates informatiques qui ciblent spécifiquement ces serveurs fonctionnant avec Microsoft MS-SQL: cliquez ici.
Une fois en contrôle des serveurs informatiques, les hackers font donc du minage de Monero, cryptomonnaie intraçable qu’affectionnent les pirates qui en tirent un revenu conséquent à l’insu des victimes de piratages.
