به گزارش بانک اول مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای متعلق به وزارت ارتباطات و فناوری اطلاعات در گزارشی با هشدار به کاربران ایرانی و سازمانها اعلام کرده است که بدافزار استخراج رمز ارز NRSMiner با سرعت بالایی در حال گسترش نفوذ و ایجاد آلودگی در شبکه ایران است و همین مسئله باعث شده تا بر اساس پایش و بررسیهای انجام شده، جمهوری اسلامی ایران رتبه دوم در آلودگی به بدافزار استخراج رمز ارز NRSMiner را کسب کند.
اترنال بلو (EternalBlue) چیست؟
اترنال بلو (EternalBlue) یک نمونه اکسپلوت یا کد مخرب ساخته شده توسط محققان امنیتی و هکرها است که توسط آژانس امنیت ملی ایالات متحده آمریکا توسعه و طراحی شده است؛ این اطلاعات توسط گروهی از هکرها با عنوان شکنندگان سایه در چهاردهم آوریل سال ۲۰۱۷ افشا شد و این اطلاعات در حمله جهانی باج افزار واناکرای و حملات گسترده آن به زیرساختهای جهانی از جمله زیرساختهای ایران در ۱۲ ماه می سال ۲۰۱۷ مورد استفاده قرار گرفت؛ در نسخه جدید این بدافزار، هکرها با تغییراتی بدافزار استخراج ارز رمزنگار NRSMine را بر روی شبکه نصب میکنند که پروتکل SMB را هدف قرار میدهد از طریق استفاده از ظرفیت پردازش شبکه نسبت به استخراج ارز رمزنگاری شده و ایجاد درآمد برای هکرها و کلاهبرداران سایبری استفاده میشود.
ویتنام مقام اول آلودگی و ایران در رتبه دوم
بر اساس بررسی انجام شده توسط شرکت امنیتی F-Secure، بدافزار استخراج رمز ارز NRSMiner از اواسط ماه نوامبر سال ۲۰۱۸ فعالیت خود را آغاز کرد و با استفاده از قابلیت نفوذ کدهای EternalBlue در کامپیوترها و شبکههای محلی توزیع شده است؛ با توجه به قابلیت نفود بالای EternalBlue این بدافزار رشد و توسعه آن بسیار سریع بوده است؛ در حال حاضر هدف اصلی این بدافزار آسیا است و ویتام با ۵۴ درصد آلودگی در رتبه اول و ایران با ۱۶ درصد آلودگی شبکه در رتبه دوم قرار گرفته است.
در روند کارکرد این بدافزار، نسخه قبلی با استفاده از دانلود ماژولهای جدید و حذف قایلهای قدیمی به روزرسانی میشود و با اجرا به صورت چند نخلی یا هایپر تردینگ میتواند به صورت همزمان قابلیتهای مختلفی از جمله استخراج رمز ارز و فشرده سازی اطلاعات را با استفاده از ظرفیت پردازشی شبکه انجام دهد؛ این بدافزار سایر تجهیزات محلی در دسترس سیستم را اسکن میکند و در صورتی که پورت TCP شماره ۴۴۵ در دسترس باشد، دسته کدهای ایجاد شده توسط هکرها با عنوان اکسپلویت EternalBlue اجرا میشود و در صورت اجرای موفق درب پشتی DoublePulsar بر روی سیستم قربانی نصب میشود.
استخراج ارز رمزنگار XMRig
کلاهبرداران سایبری به منظور سوءاستفاده از ظرفیت پردازشی سیستمها و شبکههای محلی برای درآمدزایی از بدافزار NRSMine نسبت به استخراج رمز ارز XMRig استفاده میکنند.
جلوگیری از آلودگی با بروزرسانی امنیتی
راهکار جلوگیری سیستمها و شبکههای محلی به بدافزار استخراج رمز ارز NRSMine، نصب بروزرسانیهای امنیتی مایکروسافت است که در گذشته نیز برای جلوگیری حملات واناکرای استفاده شده بود؛ در صورتی که کاربران قادر به نصب این بروزرسانیهای امنیتی نیستند باید پروتکل SMB نسخه ۱ را به عنوان راه نفوذ این بدافزار برای ایجاد آلودگی در سیستم غیر فعال کنند تا از آلودگی در شبکه و سوء استفاده از آن جلوگیری شود.
ایبنا
پست قبلی
پست بعدی
دیدگاه خود را با ما در میان بگذارید