رتبه دوم ایران در آلودگی به بدافزار استخراج ارز دیجیتالی

به گزارش اقتصاد نیوز، اخیرا نسخه جدید ‫اکسپلویت EternalBlue با سرعت زیادی در جهان گشترش پیدا کرده که بسیاری از کارشناسان امنیتی در این نسخه وجود بدافزار استخراج ارز دیجیتالی به نام NRSMiner را مشاهده کرده‌اند. مدتی قبل گروه دلالان سایه‫ افشا کردند که اکسپلویت EternalBlue به عنوان یکی از ابزارهای جاسوسی امنیت ملی آمریکا شناخته می‌شود و هدف آن باج افزار واناکرای (WannaCry) است. همچنین این اکسپلویت، پروتکل SMB نسخه 1 که میان هکرها نسخه محبوبی شناخته می‌شود را مورد هدف قرار می‌دهد.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) در این خصوص اعلام کرد از اواسط ماه نوامبر سال 2018 نسخه جدید بدافزار NRSMiner در جهان توزیع شده است که این بدافزار با کمک اکسپلویت EternalBlue به کامپیوترهای آسیب‌پذیر استخراج ارز دیجیتالی در یک شبکه محلی نفوذ می‌کند. این بدافزار تاکنون بیشتر در قاره آسیا گسترش یافته و پس از کشور ویتنام با 54 درصد، ایران با سهم 16 درصد در رتبه دوم آلودگی به بدافزار استخراج ارز دیجیتالی NRSMiner قرار دارد.

بدافزار NRSMiner با استفاده از دانلود ماژول‌های جدید و حذف فایل‌های قدیمی، خود را به‌روزرسانی کرده است. این بدافزار با عملکرد چندنخی (Multithreading) می‌تواند قابلیت‌های متفاوتی چون استخراج ارز دیجیتالی و فشرده‌سازی اطلاعات را انجام دهد. بدافزار NRSMiner می‌تواند سایر تجهیزات محلی که در دسترسش قرار دارد را اسکن کرده و اگر پورت TCP شماره 445 را پیدا کند، بلافاصله اکسپلویت EternalBlue را به روی آن اجرا می‌کند تا پس از اجرای موفق، روی سیستم مورد نظر در پشتی DoublePulsar را نصب کند. این بدافزار برای استخراج ارز دیجیتالی از استخراج‌کننده ارز رمزنگاری شده XMRig استفاده می‌کند. گفتنی است آن دسته از افرادی که برای جلوگیری از حمله‌های واناکرای به‌روزرسانی‌های مایکروسافت را نصب کرده باشند، از این روش آلوده نخواهند شد. توصیه می‌شود اگر برای نصب پچ‌های به‌روزسانی مشکل دارید، بهتر است در اولین فرصت پروتکل SMB نسخه 1 را غیرفعال کنید.