بدافزار سرقت رمزارز بیش از 50 هزار سرور را در سراسر دنیا آلوده کرده است

حدود چهار ماه است که بدافزبدافزار سرقت رمزارز جدیدی توانسته هر روز حدود 700 کامپیوتر را قربانی کرده و از منابع آن‌ها برای استخراج رمزارز استفاده کند.

گفته می‌شود حدود 50 هزار سرور در سراسر دنیا به بدافزار سرقت رمزارز پیشرفته آلوده شده‌اند که از منابع سیستم‌های آلوده برای استخراج (turtlecoin (TRTL استفاده می‌کند. turtlecoin نوعی رمزارز منبع باز متمرکز بر حریم خصوصی به حساب می‌آید. گروه بین‌المللی Guardicore که از هکرها و متخصصان امنیت سایبری تشکیل شده، این خبر را اعلام کرده است.

عبارت cryptojacking به معنی حمله‌ای نامحسوس با هدف استخراج رمزارز است که بدافزار سرقت رمزارز را روی کامپیوتر قربانی نصب کرده و بدون رضایت یا اطلاع صاحب کامپیوتر شروع به استخراج می‌کند.

گروه Guardicore که در آوریل امسال متوجه فعالیت این بدافزار سرقت رمزارز شد، معتقد است این حمله تاکنون بیش از ۵۰ هزار سرور MS-SQL و PHPMyAdmin را طی چهار ماه گذشته در سراسر جهان آلوده کرده. به گفته این تحلیل‌گرها، این حمله حدود چهار ماه پیش شروع شده و به طور متوسط هر روز ۷۰۰ قربانی جدید گرفته است.

گفته می‌شود که تعداد قربانی‌ها در بازه 13 آوریل تا 13 می، تقریباً دو برابر شد و به 47985 عدد رسید.

به گفته Guardicore Labs، این حمله مشابه دیگر حمله‌های استخراج رمزارز نیست زیرا از روش‌های پیشرفته‌ای مثل ایجاد گواهینامه‌های تقلبی و سو استفاده از دسترسی‌ها متکی است.

این پژوهشگران از نام مستعار Nansh0u برای این حمله استفاده کرده‌اند زیرا این رشته کاراکتر روی کامپیوترهای قربانی این حمله مشاهده می‌شود. آن‌ها معتقدند که چینی‌ها مسئولیت این حمله را به عهده دارند زیرا این بدافزار به زبان EPL نوشته شده که در چین کاربرد زیادی دارد. علاوه بر آن، فایل‌های لاگ و باینری متعددی از این بدافزار کشف شده که حاوی کاراکتر و رشته‌های چینی هستند. در گزارش این گروه می‌خوانیم:

«دستگاه‌هایی که مورد حمله قرار گرفته‌اند شامل بیش از 50 هزار شرکت در صنایع سلامت، مخابرات، رسانه و فناوری اطلاعات هستند. روت کیت (rootkit) پیچیده‌ای روی سیستم‌های آلوده نصب شده که در سطح کرنل (kernel-mode) کار می‌کند و اجازه متوقف شدن پروسه مربوط به بدافزار را نمی‌دهد.»

اکثر کامپیوترهای قربانی در چین، آمریکا و هند هستند ولی آثار این حمله در بیش از 90 کشور مشاهده شده است. نمی‌توان به سادگی میزان رمزارز های استخراج شده را مشخص کرد زیرا turtulecoin قابلیت‌های پیچیده‌ای برای مخفی نگه داشتن هویت کاربر دارد.

این گروه تحقیقاتی هشدار داده که «با توجه به این حمله می‌توان دید که استفاده از رمزهای عبور بسیار ساده، هنوز مهم‌ترین ضعف امنیتی در سازمان‌های امروزی به حساب می‌آید».

معمولا در حمله‌های cryptojacking از کوین مونرو (XRM) زیاد استفاده می‌شود و پژوهشگران تخمین زده‌اند که حدود ۵ درصد از کل کوین‌های XRM استخراج شده، نتیجه حمله‌های cryptojacking هستند.

استفاده از کوین دیگری که مبتنی بر الگوریتم اثبات کار باشد، مخفی نگه داشتن این نوع حمله‌ها را سخت‌تر می‌کند.

منبع : cointelegraph