ایران در رتبه دوم آلودگی به بدافزار استخراج رمزارز NRSMiner

به گزارش ایران اکونومیست؛ مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای متعلق به وزارت ارتباطات و فناوری اطلاعات در گزارشی با هشدار به کاربران ایرانی و سازمان‌ها اعلام کرده است که بدافزار استخراج رمز ‌ارز NRSMiner با سرعت بالایی در حال گسترش نفوذ و ایجاد آلودگی در شبکه ایران است و همین مسئله باعث شده تا بر اساس پایش و بررسی‌های انجام شده، جمهوری اسلامی ایران رتبه دوم در آلودگی به بدافزار استخراج رمز ارز NRSMiner را کسب کند.
اترنال بلو (EternalBlue) چیست؟
اترنال بلو (EternalBlue) یک نمونه اکسپلوت یا کد مخرب ساخته شده توسط محققان امنیتی و هکرها است که توسط آژانس امنیت ملی ایالات متحده آمریکا توسعه و طراحی شده است؛ این اطلاعات توسط گروهی از هکرها با عنوان شکنندگان سایه در چهاردهم آوریل سال ۲۰۱۷ افشا شد و این اطلاعات در حمله جهانی باج افزار واناکرای و حملات گسترده آن به زیرساخت‌های جهانی از جمله زیرساخت‌های ایران در ۱۲ ماه می سال ۲۰۱۷ مورد استفاده قرار گرفت؛ در نسخه جدید این بدافزار، هکرها با تغییراتی بدافزار استخراج ارز رمزنگار NRSMine را بر روی شبکه نصب می‌کنند که پروتکل SMB را هدف قرار می‌دهد از طریق استفاده از ظرفیت پردازش شبکه نسبت به استخراج ارز رمزنگاری شده و ایجاد درآمد برای هکرها و کلاهبرداران سایبری استفاده می‌شود.
ویتنام مقام اول آلودگی و ایران در رتبه دوم
بر اساس بررسی انجام شده توسط شرکت امنیتی F-Secure، بدافزار استخراج رمز ارز NRSMiner از اواسط ماه نوامبر سال ۲۰۱۸ فعالیت خود را آغاز کرد و با استفاده از قابلیت نفوذ کدهای EternalBlue  در کامپیوترها و شبکه‌های محلی توزیع شده است؛ با توجه به قابلیت نفود بالای EternalBlue این بدافزار رشد و توسعه آن بسیار سریع بوده است؛ در حال حاضر هدف اصلی این بدافزار آسیا است و ویتام با ۵۴ درصد آلودگی در رتبه اول و ایران با ۱۶ درصد آلودگی شبکه در رتبه دوم قرار گرفته است.
در روند کارکرد این بدافزار، نسخه قبلی با استفاده از دانلود ماژول‌های جدید و حذف قایل‌های قدیمی به روزرسانی می‌شود و با اجرا به صورت چند نخلی یا هایپر تردینگ می‌تواند به صورت همزمان قابلیت‌های مختلفی از جمله استخراج رمز ارز و فشرده سازی اطلاعات را با استفاده از ظرفیت پردازشی شبکه انجام دهد؛ این بدافزار سایر تجهیزات محلی در دسترس سیستم را اسکن می‌کند و در صورتی که پورت TCP شماره ۴۴۵ در دسترس باشد، دسته کدهای ایجاد شده توسط هکرها با عنوان اکسپلویت EternalBlue اجرا می‌شود و در صورت اجرای موفق درب پشتی DoublePulsar بر روی سیستم قربانی نصب می‌شود.
استخراج ارز رمزنگار XMRig
کلاهبرداران سایبری به منظور سوءاستفاده از ظرفیت پردازشی سیستم‌ها و شبکه‌های محلی برای درآمدزایی از بدافزار NRSMine نسبت به استخراج رمز ارز XMRig استفاده می‌کنند.
جلوگیری از آلودگی با بروزرسانی امنیتی
راهکار جلوگیری سیستم‌ها و شبکه‌های محلی به بدافزار استخراج رمز ارز NRSMine، نصب بروزرسانی‌های امنیتی مایکروسافت است که در گذشته نیز برای جلوگیری حملات واناکرای استفاده شده بود؛ در صورتی که کاربران قادر به نصب این بروزرسانی‌های امنیتی نیستند باید پروتکل SMB نسخه ۱ را به عنوان راه نفوذ این بدافزار برای ایجاد آلودگی در سیستم غیر فعال کنند تا از آلودگی در شبکه و سوء استفاده از آن جلوگیری شود.