به گزارش ایران اکونومیست؛ بر اساس گزارش آزمایشگاههای امنیتی معتبر جهان بدافزارهای استخراج رمز ارز در جهان با توجه به بزرگ شدن سهم بازار ارزهای رمزنگار و افزایش قیمت رمز ارزها به صورتی گسترده در حال افزایش است و همین مسئله باعث شده تا کاربران بسیار زیادی قربانی بدافزارهای تحت شبکه و موبایل برای استخراج ارزهای رمزنگاری شده باشند که در همین راستا نرم افزارهای امنیتی و شرکتهای مطرح از جمله گوگل، اپل و مایکروسافت محدودیتهایی را برای در امان نگه داشتن کاربران از این دسته مهاجمت انجام دادهاند؛ کوین هایو نام یکی از بدافزارهای مطرح در حوزه استخراج رمز ارزها است که با استفاده بیش از حد از منابع پردازشی دستگاه آلوده شده به منظور استخراج مانع به کارگیری استفاده مطلوب از دستگاه میشود.
تجهیزات ارتباطی و تحت شبکه شرکت میکروتیک به ویژه روترهای این شرکت در ایران برای شبکههای کوچک و متوسط مورد استفاده قرار گرفته و با توجه به گسترش بد افزار استخراج رمز ارز کوین هایو در ایران، منابع پردازشی دستگاههای آلوده شده به بدافزار کوین هایو صرف استخراج رمز ارز میشود و در عین حال با دسترسی به محتوای ترافیک عبوری از روتر قابلیت رصد و شنود در پروتکل های SMB,HTTP,SMTP,FTP وجود دارد بر همین اساس نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای وزارت ارتباطات در طی ۶ اطلاعیه نسبت به رشد تعداد قربانیان دستگاههای آلوده به باج افزار ماینینگ ارزهای رمزنگار هشدار داده و تاکید کرده که باید هر چه سریعتر نسبت به رفع و پیشگیری آلودگی دستگاههای مذکور اقدام کرد که نیاز به تعامل بیشتر اپراتورهای اینترنت ثابت به دلیل در اختیار داشتن بیشتر روترهای میکروتیک آلوده شده دارد.
مرکز ماهر و مراکز امنیتی معتبر در زمینه مراقبت از باج افزارهای رمز ارز به کاربران پیشنهاد دادهاند تا با استفاده از آنتی ویروسهای قدرتمند و معتبر، افزونههای مسدود کننده استخراج رمز ارز و مسدود کردن دامنههای آلوده اینترنتی باج افزار رمز ارز نسبت به پیشگیری از آلوده شدن سیستم خود به بدافزارهای ارزهای رمزنگار جلوگیری کنند و بتوانند سیستم خود را در امنیت و سلامت نگهداری کنند.
رشد دستگاههای میکروتیک آلوده به استخراج رمز ارز / مراقب CryptoJacking باشید
حمله به دستگاههای میکروتیک به منظور درآمدزایی با استخراج ارزهای رمزنگاری شده توسط هکرها با تزریق کدهای ارزکاوری و استفاده از ظرفیت پردازشی کاربران عبور کننده از روترهای آلوده در هنگام استفاده از اینترنت انجام شده که به صورت تخصصی آن را CryptoJackingنام نامگذاری کردهاند.
مرکز ماهر در گزارش از وضعیت آلودگی روترهای میکروتیک به بدافزار استخراج رمز ارز در ۱۱مهر ماه اعلام کرد که ۱۱ هزار و ۳۶۰ دستگاه قربانی شدهاند اما آمار جدید از قربانیان آلودگی سایبری اخیر در ایران نشان از رشد بسیار زیاد با توجه به عدم توجه به هشدارها دارد؛ در حال حاضر بر اساس جدیدترین آمار منتشر شده از مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای، ۱۶ هزار و ۳۱۵ دستگاه روتر میکروتیک شامل دستگاههای فعال در شرکتهای اینترنت، بخش خصوصی و دولتی به بدافزار استخراج رمز ارز آلوده شدهاند و امکان دارد در صورت عدم مراقبتهای لازم تعداد قربانیان افزایش پیدا کند؛ لازم به ذکر است که آخرین آمار مرکز ماهر در زمینه تعداد دستگاههای میکروتیک در کشور بالغ بر ۶۹ هزار و ۸۰۵ دستگاه است و اقدامات صلبی از جمله قطع ارتباطات از خارج کشور به دستگاههای فعال در داخل کشور در پورت ۸۲۹۱ و اطلاعیههای پیشگیرانه از تعداد قربانیان کاسته است اما همچنان ایران در رتبه چهارم بیشترین کشور آلوده به بدافزار استخراج ارزهای رمزنگار بعد از کشورهای برزیل، هند و اندونزی قرار دارد.
دستورالعمل پاکسازی دستگاههای آلوده
با توجه به گستردگی آلودگی روترهای میکروتیک به باج افزار استخراج رمز ارز با عنوان کوین هایو لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیبپذیری مجدد، اقدامات زیر صورت پذیرد:
قطع ارتباط روتر از شبکه
بازگردانی به تنظیمات کارخانهای (Factory reset)
بروزرسانی firmwareبه آخرین نسخه منتشر شده توسط شرکت میکروتیک
تنظیم مجدد روتر
غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPN انجام گردد)
با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستمهای تحت کنترل خود تغییر دهید.
درصورتی که راهاندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه میگردد:
اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک
بررسی گروه های کاربری و حساب های دسترسی موجود
تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html
حذف اسکریپت ارزکاوی(coinhive) از فایل
حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها
حذف تمامی Scheduler Taskهای مشکوک
حذف تمامی اسکریپت های مشکوک در مسیر System/Script
حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
اضافه کردن Ruleهایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
بررسی جدول NAT و حذف قوانین اضافی و مشکوک
غیرفعال کردن دسترسی Webو Telnet
محدود کردن دسترسی های مجاز به Winbox
غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
بررسی تنظیمات بخش Snifferو غیرفعال کردن Captureو Streamingدر صورت عدم استفاده
غیرفعال کردن تنظیمات web proxyدر صورت عدم استفاده
غیرفعال کردن تنظیمات Socksدر صورت عدم استفاد
در ادامه به اطلاع میرساند فهرست کلیه تجهیزات آلودهی شناسایی شده به تفکیک شرکتها و سازمانهای مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکتها در راستای پاکسازی و رفع آسیبپذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.