به روز شده در: ۰۲ خرداد ۱۳۹۸ - ۲۰:۰۸
کد خبر: ۱۰۸۱۸
تاریخ انتشار: ۲۱:۲۷ - ۰۶ ارديبهشت ۱۳۹۸ - 2019 April 26
با گذشت ۲ سال از پخش شدن بدافزار فوق طبقه‌بندی شده‌ی سازمان امنیت آمریکا، هنوز بدافزارهایی براساس آن توسعه می‌یابند.

در سال ۲۰۱۷ بدافزارهایی فوق طبقه‌بندی شده از سازمان امنیت آمریکا NSA به سرقت رفت و در سرتاسر اینترنت پخش شد. مجرمان اینترنتی هنوز از آن بدافزارها و حفره‌های هدف آن‌ها استفاده می‌کنند تا درآمدهای غیرقانونی از راه نفوذ به شبکه‌ها به دست بیاوند.

محققان امنیتی شرکت سیمانتک در جدیدترین گزارش خود خبر از بدافزاری به‌نام Beapy دادند که از ابزارهای نفوذ افشا شده در سال ۲۰۱۷ استفاده می‌کند. بدافزار جدید در شبکه‌های سازمانی گسترش می‌یابد و از کامپیوترهای آن‌ها برای اجرای کدها استخراج رمزارز استفاده می‌کند.

بدافزار Beapy ابتدا در ماه ژانویه‌ی سال جاری میلادی کشف شد، اما نفوذ آن از ماه مارس به ۱۲ هزار آلودگی در ۷۳۲ سازمان رسید. بدافزار مذکور بیشتر شبکه‌های سازمانی را مورد هدف قرار می‌دهد که میزبان تعداد زیادی کامپیوتر هستند. زمانی‌که کامپیوترهای بی‌شمار این شبکه‌ها به ابزار استخراج رمزارز آلوده شوند، در مجموع درآمد خوبی را برای مجرمان به همراه خواهند داشت.

وقتی یکی نفر در سازمان، ایمیل آلوده‌ای را باز کند، مسیر برای Beapy فعال می‌شود. پس از باز شدن ایمیل، بدافزار DoublePulsar افشاشده از اسناد NSA فعال شده و یک در پشتی دائمی در کامپیوتر قربانی ایجاد می‌شود. سپس ابزار دیگری از NSA به‌نام EternalBlue به کار می‌افتد تا آسیب‌پذیری را در سرتاسر شبکه گسترش دهد. بدافزارهای مذکور در جریان بحران WannaCry در سال ۲۰۱۷ نیز دخیل بودند.

بدافزار

در مرحله‌ی پایانی نفوذ، هکر از بدافزار Beapy برای در دست گرفتن سرور شبکه استفاده می‌کند. به محض رسیدن به این سطح از کنترل، دیگر گسترش بدافزار و کدهای استخراج در کل شبکه کار دشواری نخواهد بود.

Beapy بیشتر به شبکه‌های سازمانی حمله می‌کند

بدافزار Beapy نه‌تنها از ابزارهای NSA برای گسترش نفوذ استفاده می‌کند، بلکه ابزار متن‌بازی به‌نام Mimikatz هم درکنار آن اجرا می‌شود تا اطلاعات افراد را سرقت کند. با استفاده از ابزار متن‌باز، اطلاعاتی همچون نام کاربری و رمز عبور از کامپیوتر اولیه دریافت می‌شود تا مسیر نفوذ به کامپیوترهای دیگر در شبکه، آسان شود. تحقیقات اخیر نشان می‌دهد که بیش از ۸۰ درصد از آلودگی‌های Beapy در چین رخ داده‌اند.

دزدیدن منابع کامپیوترها برای استخراج رمزارز (Cryptojacking) در ماه‌های اخیر کاهش یافته است. تعطیلی شرکت استخراج Coinhive هم در کاهش حملات بی‌تأثیر نبود. به‌هرحال نوسان قیمت رمزارزها بر درآمد مجرمان سایبری هم تأثیر داشته است، اما سرقت منابع پردازشی برای استخراج هنوز درآمد ثابت و مناسبی برای آن‌ها محسوب می‌شود. درواقع چنین جرم‌هایی پرسودتر از پیاده‌سازی انواع دیگر بدافزار هستند.

در ماه سپتامبر، ۹۱۹ هزار کامپیوتر در معرض حملات امنیتی EternalBlue قرار داشتند. بسیاری از کامپیوترهای قربانی برای استخراج رمزارز استفاده می‌شدند. امروز این آمارها به بیش از یک میلیون کامپیوتر رسیده است.

mining

دزدی منابع پردازشی برای استخراج رمزارز عموما در وب‌سایت‌ها رخ می‌دهد. در چنین روشی، پردازنده‌ی کامپیوتر کاربر به محض باز کردن زبانه‌ی وب‌سایت آلوده، برای استخراج رمزارز مورد استفاده قرار می‌گیرد. دزدی‌هایی که با استفاده از فایل‌های مشخص انجام می‌شوند، بازدهی و سرعت بالاتری دارند و درنتیجه درآمد مجرمان را هم افزایش می‌دهند.

محققان سیمانتک اعتقاد دارند دزدی‌های براساس استفاده از فایل، ماهانه تا ۷۵۰ هزار دلار درآمد برای مجرمان به همراه دارند. درحالی‌که همین دزدی‌‌ها در صورت اجرا در وب‌سایت‌ها بیش از ۳۰ هزار دلار درآمد نخواهند داشت. شاید چنین جرم‌های اینترنتی به‌خاطر آن که هیچ داده‌ای را ردوبدل نمی‌کنند، بی‌خطر به نظر برسند، اما محققان اعتقاد دارند این روش‌ها باعث کاهش عملکرد کامپیوترها و حتی آسیب به سخت‌افزار آن‌ها می‌شوند.

برچسب ها: Malware ، Cryptocurrency
ارسال نظر
نام:
ایمیل:
* نظر: