تهدیداتخبر

بات‌نت Smominru بیش از ۹۰،۰۰۰ رایانه را هک کرده است

دستگاه‌های متصل به اینترنت ناامن، سال‌ها به انواع مختلفی از جرایم سایبری کمک کرده‌اند که رایج‌ترین آنها دیداس (DDoS) و کمپین‌های اسپم است. اما مجرمان سایبری اکنون به یک طرح سودآور روی آورده‌اند که در آن بات‌نت‌ها تنها دیداس یا اسپم را راه اندازی نمی‌کنند، بلکه رمزنگاری‌ها را نیز استخراج می‌نمایند.

Smominru، یک بات‌نت معروف استخراج رمزنگاری و سرقت اعتبار، به یکی از ویروس‌های رایانه‎‌ای که به سرعت در حال گسترش است، تبدیل شده و اکنون هر ماه بیش از ۹۰،۰۰۰ دستگاه را آلوده می‌کند.

اگرچه کمپین‌هایی که توسط Smominru هک شده‌اند، به گونه‌ای طراحی نشده‌اند که به دنبال اهداف با هر گونه علاقه خاصی باشند، اما آخرین گزارش محققان آزمایشگاه Guardicore، نمایان کننده ماهیت قربانیان و زیرساخت‌های مورد حمله است.

به گفته محققان، تنها در ماه گذشته، بیش از ۴۷۰۰ شبکه بدون هیچگونه تبعیضی به کرم آلوده شده و بسیاری از این شبکه‌ها دارای ده‌ها دستگاه داخلی آلوده بوده‌اند.

شبکه‌های آلوده شامل مؤسسات آموزش عالی مستقر در ایالات متحده، شرکت‌های پزشکی و حتی شرکت‌های امنیت سایبری هستند که مهمترین آنها متعلق به یک ارایه دهنده خدمات بهداشتی و درمانی در ایتالیا با مجموع ۶۵ میزبان آلوده بوده است.

بات‌نت Smominru از سال ۲۰۱۷ فعال است و دستگاه‌های ویندوز را در درجه اول با استفاده از اترنال بلو (EternalBlue) به خطر می‌اندازد، و این یک حمله مخرب است که توسط آژانس امنیت ملی ایالات متحده ایجاد شده، اما بعدها توسط گروه هکری Shadow Brokers به ​​عمومیت رسید و سپس توسط “واناکرای” در سال ۲۰۱۶ بکار گرفته شده است.

Smominru پس از دستیابی به سیستم‌های هدفمند، یک ماژول تروجان و یک استخراج کننده رمزنگاری را نصب می‌کند و برای مهار قدرت پردازنده رایانه‌های شخصی قربانیان به منظور استخراج مونرو و ارسال آن به یک کیف پول متعلق به اپراتور بدافزار، اقدام می‌کند.

یک ماه پیش نیز مشخص شد که اپراتورهای موجود در Smominru، بات‌نت را به‌روزرسانی کرده‎اند تا یک ماژول سرقت داده و “تروجان دسترسی از راه دور” را به کد استخراج رمزنگاری بات‌نت خود اضافه نمایند.

براساس این گزارش، محققان آزمایشگاه Guardicore اعلام کردند که موفق به دستیابی به یکی از سرورهای اصلی مهاجمان شده‌اند که اطلاعات مربوط به قربانیان و مدارک ربوده شده آنها را ذخیره می‌کند و نگاهی دقیق‌تری به ماهیت قربانیان می‌اندازد.

محققان تصریح کردند: “گزارش‌های مهاجمین، توصیف کننده هریک از میزبان‌های آلوده است؛ این گزارش‌ها شامل آدرس IP خارجی و داخلی، سیستم‌عامل اجرا شده و حتی بار CPU‌های سیستم هستند. علاوه بر این، مهاجمان سعی می‌کنند فرآیندهای در حال اجرا را جمع آوری کرده و اعتبار آن را با استفاده از ابزار Mimikatz از بین ببرند.”

بیشتر دستگاه های آلوده کشف شده در درجه اول، سرورهای کوچک به دلیل استفاده بیش از حد از CPU‌هایشان برای استخراج ارز‌های دیجیتال استخراج، غیرقابل استفاده شده بودند.

از آنجا که کرم Smominru از رمزهای عبور و ضعف اترنال بلو استفاده می‌کند، به کاربران توصیه می‌شود سیستم‌ها و نرم افزارهای خود را به‌روز کنند و به رمزهای عبور قوی، پیچیده و منحصر‌به‌فرد متکی باشند تا از قربانی شدن در برابر چنین تهدیداتی جلوگیری کنند.

علاوه بر این، برای یک سازمان نیز داشتن تدابیر امنیتی فرعی مانند “اعمال تقسیم بندی شبکه و به حداقل رساندن تعداد سرورهای متصل به اینترنت” ضروری است.

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شش + یک =

دکمه بازگشت به بالا
بستن
بستن