گسترش بدافزار جدید استخراج رمز ارز با بهرهگیری از بدافزار قدیمی NSA
در سال ۲۰۱۷ بدافزارهایی فوق طبقهبندی شده از سازمان امنیت آمریکا NSA به سرقت رفت و در سرتاسر اینترنت پخش شد. مجرمان اینترنتی هنوز از آن بدافزارها و حفرههای هدف آنها استفاده میکنند تا درآمدهای غیرقانونی از راه نفوذ به شبکهها به دست بیاوند.
محققان امنیتی شرکت سیمانتک در جدیدترین گزارش خود خبر از بدافزاری بهنام Beapy دادند که از ابزارهای نفوذ افشا شده در سال ۲۰۱۷ استفاده میکند. بدافزار جدید در شبکههای سازمانی گسترش مییابد و از کامپیوترهای آنها برای اجرای کدها استخراج رمزارز استفاده میکند.
بدافزار Beapy ابتدا در ماه ژانویهی سال جاری میلادی کشف شد، اما نفوذ آن از ماه مارس به ۱۲ هزار آلودگی در ۷۳۲ سازمان رسید. بدافزار مذکور بیشتر شبکههای سازمانی را مورد هدف قرار میدهد که میزبان تعداد زیادی کامپیوتر هستند. زمانیکه کامپیوترهای بیشمار این شبکهها به ابزار استخراج رمزارز آلوده شوند، در مجموع درآمد خوبی را برای مجرمان به همراه خواهند داشت.
وقتی یکی نفر در سازمان، ایمیل آلودهای را باز کند، مسیر برای Beapy فعال میشود. پس از باز شدن ایمیل، بدافزار DoublePulsar افشاشده از اسناد NSA فعال شده و یک در پشتی دائمی در کامپیوتر قربانی ایجاد میشود. سپس ابزار دیگری از NSA بهنام EternalBlue به کار میافتد تا آسیبپذیری را در سرتاسر شبکه گسترش دهد. بدافزارهای مذکور در جریان بحران WannaCry در سال ۲۰۱۷ نیز دخیل بودند.
در مرحلهی پایانی نفوذ، هکر از بدافزار Beapy برای در دست گرفتن سرور شبکه استفاده میکند. به محض رسیدن به این سطح از کنترل، دیگر گسترش بدافزار و کدهای استخراج در کل شبکه کار دشواری نخواهد بود.
Beapy بیشتر به شبکههای سازمانی حمله میکند
بدافزار Beapy نهتنها از ابزارهای NSA برای گسترش نفوذ استفاده میکند، بلکه ابزار متنبازی بهنام Mimikatz هم درکنار آن اجرا میشود تا اطلاعات افراد را سرقت کند. با استفاده از ابزار متنباز، اطلاعاتی همچون نام کاربری و رمز عبور از کامپیوتر اولیه دریافت میشود تا مسیر نفوذ به کامپیوترهای دیگر در شبکه، آسان شود. تحقیقات اخیر نشان میدهد که بیش از ۸۰ درصد از آلودگیهای Beapy در چین رخ دادهاند.
دزدیدن منابع کامپیوترها برای استخراج رمزارز (Cryptojacking) در ماههای اخیر کاهش یافته است. تعطیلی شرکت استخراج Coinhive هم در کاهش حملات بیتأثیر نبود. بههرحال نوسان قیمت رمزارزها بر درآمد مجرمان سایبری هم تأثیر داشته است، اما سرقت منابع پردازشی برای استخراج هنوز درآمد ثابت و مناسبی برای آنها محسوب میشود. درواقع چنین جرمهایی پرسودتر از پیادهسازی انواع دیگر بدافزار هستند.
در ماه سپتامبر، ۹۱۹ هزار کامپیوتر در معرض حملات امنیتی EternalBlue قرار داشتند. بسیاری از کامپیوترهای قربانی برای استخراج رمزارز استفاده میشدند. امروز این آمارها به بیش از یک میلیون کامپیوتر رسیده است.
دزدی منابع پردازشی برای استخراج رمزارز عموما در وبسایتها رخ میدهد. در چنین روشی، پردازندهی کامپیوتر کاربر به محض باز کردن زبانهی وبسایت آلوده، برای استخراج رمزارز مورد استفاده قرار میگیرد. دزدیهایی که با استفاده از فایلهای مشخص انجام میشوند، بازدهی و سرعت بالاتری دارند و درنتیجه درآمد مجرمان را هم افزایش میدهند.
محققان سیمانتک اعتقاد دارند دزدیهای براساس استفاده از فایل، ماهانه تا ۷۵۰ هزار دلار درآمد برای مجرمان به همراه دارند. درحالیکه همین دزدیها در صورت اجرا در وبسایتها بیش از ۳۰ هزار دلار درآمد نخواهند داشت. شاید چنین جرمهای اینترنتی بهخاطر آن که هیچ دادهای را ردوبدل نمیکنند، بیخطر به نظر برسند، اما محققان اعتقاد دارند این روشها باعث کاهش عملکرد کامپیوترها و حتی آسیب به سختافزار آنها میشوند.