Vollgar – Malware hat SQL-Server im Visier

Mehr als 3.000 Microsoft-Server pro Tag infiziert

Von in IT-Sicherheit
07
Apr
'20

Vollgar lautet der klangvolle Titel einer Malware-Kampagne, die aktuell bis zu 3.000 Microsoft-SQL-Server pro Tag erfolgreich angreift. Die Ursprünge von Vollgar reichen tatsächlich schon zwei Jahre zurück, jedoch verzeichnen Sicherheitsforscher erst jetzt einen massiven Anstieg der Angriffe.

Wie Vollgar funktioniert und wie Sie Ihr Firmennetzwerk davor schützen können, erfahren Sie hier.

vollgar malware sql server

Vollgar – Malware-Kampagne greift Microsoft-SQL-Server an.
Bild: Screenshot microsoft.com

Vollgar nutzt Passwort-Schwächen

Ein alter Bekannter, die Passwort-Schwäche, ist maßgeblich verantwortlich für den Erfolg der Malware-Kampagne Vollgar. Unzählige Microsoft-SQL-Server, die über das Internet erreichbar sind, sind zu schlecht abgesichert und nur durch schwache Passwörter geschützt, die für Profis extrem leicht zu knacken sind. Sicherheitsexperten des israelisch-amerikanischen Cloud-and-Data-Security-Spezialisten Guardicore haben nun herausgefunden, dass jeden Tag massenhaft Brute-Force-Attacken auf SQL-Server erfolgen.

Wer die Köpfe hinter der Malware-Kampagne sind, ist bislang nicht klar. Fest steht nur: Die im Hintergrund eingeschleusten Trojaner sind wahlweise auf Cryptomining oder die Fernsteuerung spezialisiert. Und das macht sie somit umso gefährlicher.

Ausschließlich Microsoft-SQL-Server im Fokus

Seit Beginn der Malware-Kampagne im Mai 2018 haben die Angreifer ausschließlich Microsoft-SQL-Server im Visier. Das ist kaum verwunderlich, schließlich verzeichnet der Marktführer mit Abstand die höchsten Nutzerzahlen.

Einem aktuellen Bereich der Guardicore Sicherheitsexperten soll Vollgar jeden Tag bis zu 3.000 Server infizieren. Bislang konzentrieren sich die Cyberkriminellen dabei vornehmlich auf die Länder Indien, China, Südkorea und die Türkei. Erfahrungsgemäß ist es aber nur eine Frage der Zeit, bis auch die USA und europäische Länder mit hoher Server-Dichte – wie zum Beispiel Deutschland – ins Fadenkreuz geraten.

Wichtig: Wenn Ihr SQL-Server Opfer dieser oder einer anderen Kampagne geworden ist, muss er sofort in „Quarantäne“ – also vom übrigen Firmennetzwerk getrennt werden. Nur so lässt sich der Schaden weitestgehend begrenzen. Haben Sie diesbezüglich Fragen, treten Sie doch direkt in Kontakt mit einem unserer Experten aus dem IT-SERVICE.NETWORK.

So funktioniert Vollgar

Die Malware-Kampagne basiert auf dem Prinzip des Brute-Force-Angriffs. Brute Force, zu deutsch „rohe Gewalt“ wird eingesetzt, um Passwörter durch bloßes Ausprobieren unzähliger Kombinationen zu knacken. Im Umkehrschluss bedeutet das, dass nur sichere Passwörter einen ausreichenden Schutz bieten.

Ist der Server also nur mit einem schwachen Kennwort gesichert, können sich die Angreifer schnell Zugriff verschaffen. Bei Vollgar kommt es dann dazu, dass über verschiedene Wege der Fernzugriff eingerichtet wird. Gleichzeitig verwischen die Angreifer ihre Spuren und nutzen dazu sogar Malware der Konkurrenz.

Im nächsten Schritt installieren die Angreifer verschiedene Trojaner. Selbige haben nur ein Ziel: Die Kryprowährung Vollar zu schürfen. Der Name „Vollgar“ ist übrigens eine Mischung aus „Vollar“ und dem Adjektiv „vulgär“, weil Sicherheitsexperten die Methode als besonders fies einstufen.

Server-Sicherheit testen

SQL-Server und andere Datenbanksysteme sollten eigentlich von Natur aus gar nicht über das Netz erreichbar sein. Und natürlich erst recht nicht, wenn sie unzureichend durch schwache Passwörter geschützt sind. Ist eine Verbindung zum Internet jedoch notwendig, sollten die zuständigen Admins die Logdateien kontinuierlich auf verdächtige Einträge untersuchen.

Zudem ist es von hoher Relevanz, ein gutes Zugriffsmanagement zu etablieren. Ausschließlich berechtigte Personen sollten Zugriff auf die größtenteils hochsensiblen Firmendaten haben.

Wer Sorge hat, Angriffen von Vollgar oder anderen Malware-Kampagnen nicht standhalten zu können, sollte die Sicherheit seiner Server jetzt testen lassen. Idealerweise wenden Sie sich mit diesem Anliegen direkt an Ihren Vor-Ort-Experten aus dem IT-SERVICE.NETWORK. Mit Hilfe verschiedener Methoden und Tools können unsere IT-Spezialisten schnell herausfinden, wie gut oder schlecht es um die Sicherheit Ihrer Firmenserver bestellt ist. Im Anschluss an unsere Analyse erhalten Sie selbstverständlich auch eine Aufstellung mit konkreten Handlungsempfehlungen.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.