آلودگی به باج‌افزار «گریه» یا یک نرم‌افزار استخراجِ ارز مجازی؟ مسئله این است

همان کیت بدافزاری که برای حملات باج‌افزار «گریه» مورد استفاده قرار می‌گیرد و شاهد هستیم در چند روز اخیر بسیار خبرساز شده، در حمله‌ی دیگری ماه گذشته نیز استفاده شده است. به نظر می‌رسد ابعاد حمله‌ای که از ماه قبل آغاز شده، بزرگ‌تر نیز شده باشد.

به گزارش محققی از پروف‌پوینت، این حمله از همان کیت بهره‌برداری EternalBlue متعلق به آژانس امنیت ملی آمریکا استفاده می‌کند و از یک دربِ پشتی دیگر با نام DoublePulsar نیز بهره می‌برد. هر دوی این ابزارها متعلق به آژانس امنیت ملی آمریکا بوده و توسط گروه نفوذ Shadow Brokers از این سرویس اطلاعاتی به سرقت رفته و افشاء شده است. در حمله‌ی قدیمی‌تر، بجای نصب باج‌افزار، یک نرم‌افزار استخراجِ ارز مجازی بر روی ماشین قربانی با نام Adylkuzz WannaCry نصب می‌شود.

براساس پیش‌بینی‌های محققان امنیتی، این حمله از ۲۴ آوریل تا ۲ ماه می انجام شده است. مانند باج‌افزار «گریه»، این پویش نیز در روند توزیع، فعال بوده است چرا که بر روی بسیاری از سامانه‌های مایکروسافت ویندوز، آسیب‌پذیری موجود در سرویس SMB وصله نشده بود. محقق امنیتی پروف‌پوینت توضیح داد: «زمانی که آلودگی به باج‌افزار گریه را مورد بررسی قرار می‌دادیم، با یک ماشین در آزمایشگاه مواجه شدیم که دارای آسیب‌پذیری SMB بود و ما فکر می‌کردیم به این باج‌افزار آلوده شده است. پس از بررسی متوجه شدیم یک برنامه‌ی استخراجِ ارز مجازی بی‌سروصدا بر روی ماشین نصب شده است.» به نظر می‌رسد این حملات از روی چند کارگزار خصوصی مجازی انجام شده و به‌طور مداوم اینترنت را برای کشف درگاه‌های آسیب‌پذیرِ ۴۴۵ پویش می‌کنند.

وقتی یک ماشین توسط ابزار EternalBlue مورد بهره‌برداری قرار می‌گیرد، در ادامه به ابزار DoublePulsar آلوده می‌شود. در ادامه نیز دربِ پشتی، نرم‌افزار Adylkuzz را از ماشین دیگر بارگیری و اجرا می‌کند. این نرم‌افزار ابتدا نمونه‌های مشابه به خود را از روی ماشین آلوده حذف می‌کند، درگاه‌های SMB را برای جلوگیری از آلودگی‌ها بیشتر مسدود کرده و دستورات مربوط به استخراجِ ارز را دریافت می‌کند.

با این توضیحات، ممکن است فردی فکر کند سامانه‌ی او آسیب‌پذیر بوده و در جریان حملاتی که از روز جمعه آغاز شده، به باج‌افزار گریه آلوده شده است ولی در حالی‌که ممکن است سامانه‌ی او تحت تأثیر حمله‌ی دیگر که همان استخراجِ ارز مجازی است، قرار گرفته باشد. به‌عبارت دیگر، حمله‌ی استخراجِ ارز مجازی ممکن است سرعت توزیع و گسترش باج‌افزار گریه را کاهش داده باشد چرا که درگاه‌های SMB را برای جلوگیری از آلودگی‌های بیشتر مسدود می‌کند.

در پویش استخراجِ ارز مجازی، بدافزار مربوطه به استخراج Monero می‌پردازد که گفته می‌شود به‌طور کامل گمنامی کاربر را حفظ می‌کند. در مقایسه با بیت‌کوین که بسیار معروف است، این ارز مجازی مانند بیت‌کوین به راحتی قابل رهگیری نیست. اینکه یک بات‌نت برای استخراج ارز مجازی، هفته‌ها توانسته ناشناخته باقی بماند برای مهاجمان سایبری دستاورد بسیار بزرگی است. سؤالی که اینک می‌توان پرسید این است: دیگر چه گروه‌هایی از اطلاعات آژانس امنیت ملی آمریکا استفاده کرده و دست به حملات مختلف زده‌اند؟

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.