چند هفته قبل از WannaCry یک بات‌نت استخراج‌کننده ارز رمزنگاری‌شده، از بهره‌بردار SMB در ویندوز استفاده می‌کرده است.

WannaCry

یک محقق امنیتی کشف کرده است که یک بدافزار استخراج ارز رمزنگاری‌شده^(۱) مخفی که از آسیب‌پذیری SMB در ویندوز[۱] نیز استفاده می‌کرده است حداقل ۲ هفته قبل از شروع حملات باج‌گیر افزار WannaCry در سطح اینترنت[۲]، مورد استفاده قرار گرفته است.

بر طبق گفته Kafeine که یک محقق امنیتی در شرکت Proofpoint است[۳]، گروهی دیگر از مجرمان سایبری از یک بهره‌بردار مشابه EternalBlue استفاده می‌کردند که توسط NSA تولید شده و ماه گذشته و توسط گروه Shadow Brokers از NSA به سرقت رفته بود[۴]. این مجرمان توسط این بدافزارِ استخراج ارز رمزنگاری‌شده که Adylkuzz نام‌گذاری شده بود، صدها هزار کامپیوتر در سراسر جهان را مورد حمله قرار داده بودند.

این کمپین مخرب هفته‌ها بود که مورد توجه قرار نگرفته بود چراکه برخلاف باج‌گیر افزار WannaCry [5] این بدافزار یک باج‌گیر افزار بر روی سیستم نصب نکرده و هشداری به کاربر نمی‌داد اما به‌جای آن، بدون سروصدا کامپیوترهای وصله نشده را توسط این بدافزار آلوده می‌کرد و فقط Monero را استخراج می‌کرد که نوعی واحد ارز رمزنگاری‌شده مشابه بیت کوین است.

این بدافزار کامپیوترها را از مورد حمله واقع‌شدن توسط WannaCry محافظت می‌کند.

این محقق معتقد است که حمله بدافزار Adylkuzz می‌تواند در مقیاس بزرگ‌تر از حمله باج‌گیر افزار WannaCry باشد چراکه طوری طراحی ‌شده است که پورت‌های SMB کامپیوتر مورد هدف را پس از آلوده کردن، مسدود کند.

به‌عبارت‌دیگر، بدافزار Adylkuzz کامپیوترهای وصله نشده را آلوده می‌کند و سپس پورت‌های SMB را مسدود می‌کند تا از آلودگی بعدی آن‌ها جلوگیری کند، که در حقیقت به‌طور غیرمستقیم صدها هزار کامپیوتر را از مورد حمله واقع شدن توسط باج‌گیر افزار WannaCry نجات می‌دهد.

واحدهای ارز رمزنگاری‌شده و از نوع استخراج شونده می‌توانند نوعی سرمایه‌گذاری هزینه‌بر باشند چراکه نیازمند قدرت بسیار زیاد محاسباتی هستند، اما بدافزار Adylkuzz که از نوع استخراج ارز رمزنگاری‌شده است کار را برای مجرمان سایبری راحت کرده است چرا که به آن‌ها اجازه می‌دهد تا از منابع محاسباتی سیستم‌های مورد هدف استفاده کرده و ارز بسیار زیادی از این طریق به دست آورند.

Robert Holmes که رئیس بخش تولیدات در شرکت Proofpoint است می‌گوید: “هنگام آلوده شدن توسط استفاده از بهره‌بردار EternalBlue بدافزار Adylkuzz که از نوع استخراج ارز رمزنگاری‌شده است بر روی سیستم نصب می‌شود تا از این طریق و برای مهاجمان پول نقد سایبری^(۲) تولید کند.

یک Monero در حال حاضر تقریباً برابر با ۲۶٫۷۷ دلار است.

محققان همچنین اضافه کرده‌اند که: “درحالی‌که یک لپ‌تاپ شخصی ممکن است مقدار اندکی دلار در طول یک هفته تولید کند، مجموعه‌ای از کامپیوترهای در معرض خطر و در داخل یک شبکه می‌توانند مبالغی ۵ رقمی در طول یک روز تولید کنند.”

باوجود تلاش مردم برای وصله کردن سیستم‌هایشان تا از آن‌ها در برابر باج‌گیر افزار WannaCry محافظت شود، Proofpoint عقیده دارد که حمله Adylkuzz همچنان در حال گسترش است و ماشین‌های دارای سیستم‌عامل ویندوز را هدف قرار می‌دهد.

هفته گذشته و در یک تحقیقات جداگانه، محققان GuardiCore یک بدافزار از نوع بات‌نت جدید را کشف کردند که BondNet نام‌گذاری شده بود[۶] که این بات‌نت نیز سیستم‌های دارای ویندوز را در سراسر جهان مورد حمله قرار داده بود و از ترکیبی از تکنیک‌ها به‌منظور استخراج ارزهای رایج که شامل Monero، ByteCoin، RieCoin و ZCash می‌شد، استفاده کرده بود.

بنابراین، بهترین راه برای اینکه خود را ایمن نگه دارید این است که آن‌ها را با آخرین وصله‌های منتشر شده به‌روزرسانی کنید و بعضی از هشدارهای اساسی امنیتی را دنبال کنید که در مقاله مربوط به باج‌گیر افزار WannaCry به آن‌ها اشاره شده بود و دستگاه‌های خود را نسبت به WannaCry، بدافزار استخراج ارز و دیگر بدافزارها مصون نگه دارید [۲].