باتنت Smominru بیش از 90،000 رایانه را هک کرده است
دستگاههای متصل به اینترنت ناامن، سالها به انواع مختلفی از جرایم سایبری کمک کردهاند که رایجترین آنها دیداس (DDoS) و کمپینهای اسپم است. اما مجرمان سایبری اکنون به یک طرح سودآور روی آوردهاند که در آن باتنتها تنها دیداس یا اسپم را راه اندازی نمیکنند، بلکه رمزنگاریها را نیز استخراج مینمایند.
Smominru، یک باتنت معروف استخراج رمزنگاری و سرقت اعتبار، به یکی از ویروسهای رایانهای که به سرعت در حال گسترش است، تبدیل شده و اکنون هر ماه بیش از 90،000 دستگاه را آلوده میکند.
اگرچه کمپینهایی که توسط Smominru هک شدهاند، به گونهای طراحی نشدهاند که به دنبال اهداف با هر گونه علاقه خاصی باشند، اما آخرین گزارش محققان آزمایشگاه Guardicore، نمایان کننده ماهیت قربانیان و زیرساختهای مورد حمله است.
به گفته محققان، تنها در ماه گذشته، بیش از 4700 شبکه بدون هیچگونه تبعیضی به کرم آلوده شده و بسیاری از این شبکهها دارای دهها دستگاه داخلی آلوده بودهاند.
شبکههای آلوده شامل مؤسسات آموزش عالی مستقر در ایالات متحده، شرکتهای پزشکی و حتی شرکتهای امنیت سایبری هستند که مهمترین آنها متعلق به یک ارایه دهنده خدمات بهداشتی و درمانی در ایتالیا با مجموع 65 میزبان آلوده بوده است.
باتنت Smominru از سال 2017 فعال است و دستگاههای ویندوز را در درجه اول با استفاده از اترنال بلو (EternalBlue) به خطر میاندازد، و این یک حمله مخرب است که توسط آژانس امنیت ملی ایالات متحده ایجاد شده، اما بعدها توسط گروه هکری Shadow Brokers به عمومیت رسید و سپس توسط “واناکرای” در سال 2016 بکار گرفته شده است.
Smominru پس از دستیابی به سیستمهای هدفمند، یک ماژول تروجان و یک استخراج کننده رمزنگاری را نصب میکند و برای مهار قدرت پردازنده رایانههای شخصی قربانیان به منظور استخراج مونرو و ارسال آن به یک کیف پول متعلق به اپراتور بدافزار، اقدام میکند.
یک ماه پیش نیز مشخص شد که اپراتورهای موجود در Smominru، باتنت را بهروزرسانی کردهاند تا یک ماژول سرقت داده و “تروجان دسترسی از راه دور” را به کد استخراج رمزنگاری باتنت خود اضافه نمایند.
براساس این گزارش، محققان آزمایشگاه Guardicore اعلام كردند كه موفق به دستیابی به یكی از سرورهای اصلی مهاجمان شدهاند كه اطلاعات مربوط به قربانیان و مدارك ربوده شده آنها را ذخیره میكند و نگاهی دقیقتری به ماهیت قربانیان میاندازد.
محققان تصریح کردند: “گزارشهای مهاجمین، توصیف کننده هریک از میزبانهای آلوده است؛ این گزارشها شامل آدرس IP خارجی و داخلی، سیستمعامل اجرا شده و حتی بار CPUهای سیستم هستند. علاوه بر این، مهاجمان سعی میکنند فرآیندهای در حال اجرا را جمع آوری کرده و اعتبار آن را با استفاده از ابزار Mimikatz از بین ببرند.”
بیشتر دستگاه های آلوده کشف شده در درجه اول، سرورهای کوچک به دلیل استفاده بیش از حد از CPUهایشان برای استخراج ارزهای دیجیتال استخراج، غیرقابل استفاده شده بودند.
از آنجا که کرم Smominru از رمزهای عبور و ضعف اترنال بلو استفاده میکند، به کاربران توصیه میشود سیستمها و نرم افزارهای خود را بهروز کنند و به رمزهای عبور قوی، پیچیده و منحصربهفرد متکی باشند تا از قربانی شدن در برابر چنین تهدیداتی جلوگیری کنند.
علاوه بر این، برای یک سازمان نیز داشتن تدابیر امنیتی فرعی مانند “اعمال تقسیم بندی شبکه و به حداقل رساندن تعداد سرورهای متصل به اینترنت” ضروری است.