افزایش قربانیان بدافزارهای استخراج رمز ارزها

به گزارش بانکینا، بر اساس گزارش آزمایشگاه‌های امنیتی معتبر جهان بدافزارهای استخراج رمز ارز در جهان با توجه به بزرگ شدن سهم بازار ارزهای رمزنگار و افزایش قیمت رمز ارزها به صورتی گسترده‌ در حال افزایش است و همین مسئله باعث شده تا کاربران بسیار زیادی قربانی بدافزارهای تحت شبکه و موبایل برای استخراج ارزهای رمزنگاری شده باشند که در همین راستا نرم افزارهای امنیتی و شرکت‌های مطرح از جمله گوگل، اپل و مایکروسافت محدودیت‌هایی را برای در امان نگه داشتن کاربران از این دسته مهاجمت انجام داده‌اند؛ کوین هایو نام یکی از بدافزارهای مطرح در حوزه استخراج رمز ارزها است که با استفاده بیش از حد از منابع پردازشی دستگاه آلوده شده به منظور استخراج مانع به کارگیری استفاده مطلوب از دستگاه می‌شود.

تجهیزات ارتباطی و تحت شبکه شرکت میکروتیک به ویژه روترهای این شرکت در ایران برای شبکه‌های کوچک و متوسط مورد استفاده قرار گرفته و با توجه به گسترش بد افزار استخراج رمز ارز کوین هایو در ایران، منابع پردازشی دستگاه‌های آلوده شده به بدافزار کوین هایو صرف استخراج رمز ارز می‌شود و در عین حال با دسترسی به محتوای ترافیک عبوری از روتر قابلیت رصد و شنود در پروتکل های SMB,HTTP,SMTP,FTP وجود دارد بر همین اساس نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای وزارت ارتباطات در طی ۶ اطلاعیه نسبت به رشد تعداد قربانیان دستگاه‌های آلوده به باج افزار ماینینگ ارزهای رمزنگار هشدار داده و تاکید کرده که باید هر چه سریعتر نسبت به رفع و پیشگیری آلودگی دستگاه‌های مذکور اقدام کرد که نیاز به تعامل بیشتر اپراتورهای اینترنت ثابت به دلیل در اختیار داشتن بیشتر روترهای میکروتیک آلوده شده دارد.

مرکز ماهر و مراکز امنیتی معتبر در زمینه مراقبت از باج افزارهای رمز ارز به کاربران پیشنهاد داده‌اند تا با استفاده از آنتی ویروس‌های قدرتمند و معتبر، افزونه‌های مسدود کننده استخراج رمز ارز و مسدود کردن دامنه‌های آلوده اینترنتی باج افزار رمز ارز نسبت به پیشگیری از آلوده شدن سیستم خود به بدافزارهای ارزهای رمزنگار جلوگیری کنند و بتوانند سیستم خود را در امنیت و سلامت نگهداری کنند.

رشد دستگاه‌های میکروتیک آلوده به استخراج رمز ارز / مراقب CryptoJacking باشید

حمله به دستگاه‌های میکروتیک به منظور درآمدزایی با استخراج ارزهای رمزنگاری شده توسط هکرها با تزریق کدهای ارزکاوری و استفاده از ظرفیت پردازشی کاربران عبور کننده از روترهای آلوده در هنگام استفاده از اینترنت انجام شده که به صورت تخصصی آن را CryptoJackingنام نامگذاری کرده‌اند.

مرکز ماهر در گزارش از وضعیت آلودگی روترهای میکروتیک به بدافزار استخراج رمز ارز در ۱۱مهر ماه اعلام کرد که ۱۱ هزار و ۳۶۰ دستگاه قربانی شده‌اند اما آمار جدید از قربانیان آلودگی سایبری اخیر در ایران نشان از رشد بسیار زیاد با توجه به عدم توجه به هشدارها دارد؛ در حال حاضر بر اساس جدیدترین آمار منتشر شده از مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای،  ۱۶ هزار و ۳۱۵ دستگاه روتر میکروتیک شامل دستگاه‌های فعال در شرکت‌های اینترنت، بخش خصوصی و دولتی به بدافزار استخراج رمز ارز آلوده شده‌اند و امکان دارد در صورت عدم مراقبت‌های لازم تعداد قربانیان افزایش پیدا کند؛ لازم به ذکر است که آخرین آمار مرکز ماهر در زمینه تعداد دستگاه‌های میکروتیک در کشور بالغ بر ۶۹ هزار و ۸۰۵ دستگاه است و اقدامات صلبی از جمله قطع ارتباطات از خارج کشور به دستگاه‌های فعال در داخل کشور در پورت ۸۲۹۱ و اطلاعیه‌های پیشگیرانه از تعداد قربانیان کاسته است اما همچنان ایران در رتبه چهارم بیشترین کشور آلوده به بدافزار استخراج ارزهای رمزنگار بعد از کشورهای برزیل، هند و اندونزی قرار دارد.

دستورالعمل پاکسازی دستگاه‌های آلوده

با توجه به گستردگی آلودگی روترهای میکروتیک به باج افزار استخراج رمز ارز با عنوان کوین هایو لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب‌پذیری مجدد، اقدامات زیر صورت پذیرد:

1. قطع ارتباط روتر از شبکه
2. بازگردانی به تنظیمات کارخانه‌ای (Factory reset)
3. بروزرسانی firmwareبه آخرین نسخه منتشر شده توسط شرکت میکروتیک
4. تنظیم مجدد روتر
5. غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPN انجام گردد)
6. با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستم‌های تحت کنترل خود تغییر دهید.

درصورتی که راه‌اندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه می‌گردد:

1. اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک
2. بررسی گروه های کاربری و حساب های دسترسی موجود
3. تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
4. بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html

• حذف اسکریپت ارزکاوی(coinhive) از فایل
• حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها

1. حذف تمامی Scheduler Taskهای مشکوک
2. حذف تمامی اسکریپت های مشکوک در مسیر System/Script
3. حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
4. بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
5. اضافه کردن Ruleهایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
6. بررسی جدول NAT و حذف قوانین اضافی و مشکوک
7. غیرفعال کردن دسترسی Webو Telnet
8. محدود کردن دسترسی های مجاز به Winbox
9. غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
10. بررسی تنظیمات بخش Snifferو غیرفعال کردن Captureو Streamingدر صورت عدم استفاده
11. غیرفعال کردن تنظیمات web proxyدر صورت عدم استفاده
12. غیرفعال کردن تنظیمات Socksدر صورت عدم استفاد

در ادامه به اطلاع می‌رساند فهرست کلیه تجهیزات آلوده‌ی شناسایی شده به تفکیک شرکت‌ها و سازمان‌های مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکت‌ها در راستای پاکسازی و رفع آسیب‌پذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.

منبع: ایبنا