Narzędzia NSA używane do uwalniania złośliwego oprogramowania kryptograficznego przez hakerów

Hakerzy używają teraz oprogramowania opracowanego przez Amerykańską Agencję Bezpieczeństwa Narodowego (NSA) do nielegalnego wydobywania kryptowalut. Według opublikowanego niedawno raportu przez Cyber ​​Threat Alliance (CTA), opracowane przez kolektyw ekspertów ds. Cyberbezpieczeństwa z firm McAfee, Cisco Talos, NTT Security, Rapid7 i Sophos, wykrywanie złośliwego oprogramowania do wydobywania kryptowalut wzrosło do ponad 400 procent w ciągu ostatnich półtora roku.

Złośliwi aktorzy przejmują zasoby procesora komputera, między innymi poprzez włamania do infrastruktury sieci internetowej i włamania do komputerów. Jednym z bardziej niepokojących trendów jest wykorzystanie exploita NSA, który wyciekł na początku zeszłego roku przez Shadow Brokers o nazwie EternalBlue.

Wkrótce po opublikowaniu kodu źródłowego cyberprzestępcy wykorzystali to narzędzie do przeprowadzenia niszczycielskiego ataku ransomware nazwanego WannaCry, który doprowadził do zainfekowania ponad 200 000 komputerów w ponad 100 krajach. Brytyjska Narodowa Służba Zdrowia (NHS) była jedną z instytucji będących celem ataku i doświadczyła zamknięcia sieci.

Według nowych doniesień ten sam exploit jest używany do wykorzystywania mocy wydobywania kryptowalut przy użyciu złośliwego oprogramowania o nazwie WannaMine. Komputery, które zostały zainfekowane, mogą działać wolno lub mieć problemy z przegrzewaniem się sprzętu. Jednak niektóre ataki są bardziej wyrafinowane. Monitorują użycie myszy lub procesora i automatycznie wstrzymują operacje, gdy moc przetwarzania przekroczy określony próg.

Ta funkcja sprawia, że ​​są trudniejsze do wykrycia, co pozwala im przetrwać i ostatecznie generować większe zyski dla cyberprzestępców. Ogólnie infekcje złośliwym oprogramowaniem EternalBlue są trudne do wykrycia ze względu na ich zdolność do działania bez pobierania dodatkowych plików aplikacji.

Wannacry Malware zostało oparte na exploicie Eternalblue.

Złośliwe oprogramowanie WannaCry doprowadziło do zainfekowania ponad 200 000 komputerów w ponad 100 krajach. (Źródło obrazu: Wikipedia).

Jak działa WannaMine Crypto Mining Malware

WannaMine jest najbardziej znanym złośliwym oprogramowaniem wydobywającym kryptowaluty opartym na EternalBlue. Stwierdzono, że rozprzestrzenia się na różne sposoby. Jednym z nich są użytkownicy Internetu pobierający fałszywe oprogramowanie z nieoficjalnych źródeł, załączników do wiadomości e-mail oraz oferujący wprowadzające w błąd monity o aktualizację oprogramowania.

Opiera się na narzędziach do zarządzania Windows do swoich operacji i kamufluje się w ramach legalnych procesów. W związku z tym nie działa na urządzeniach z Androidem ani iOS. Jednak pozwala hakerowi pobierać i przesyłać pliki do komputera, wyliczać uruchomione procesy, wykonywać dowolne polecenia, zbierać informacje specyficzne dla systemu, takie jak adresy IP i nazwa komputera, a także umożliwia intruzowi zmianę niektórych ustawień urządzenia.

Wannamine zazwyczaj używa Mimikatz, narzędzie hakerskie systemu Windows używane do „łamania” oprogramowania w celu uzyskania większej kontroli nad systemem. Pierwotnie opracowany przez Benjamina Delpy’ego, Mimikatz może uzyskać dostęp do haseł komputera poprzez jego pamięć i zniewolić go przez botnet. Posiada również możliwość eksportowania certyfikatów bezpieczeństwa, nadpisywania Microsoft AppLocker i procesów związanych z Policją Ograniczeń Oprogramowania, a także modyfikowania uprawnień.

Statystyki dotyczące Cryptojackingu

Praktyka cryptojackingu najwyraźniej szerzy się, aw listopadzie ubiegłego roku statystyki opublikowane przez AdGuard oskarżony że ponad 33 000 witryn internetowych, odwiedzanych łącznie przez ponad 1 miliard miesięcznie, zawierało skrypty do cryptojackingu. Większość nie zadała sobie trudu, aby ostrzec użytkowników o tym. Mówi się, że Monero jest preferowaną kryptowalutą dla podmiotów zajmujących się cryptojackingiem, głównie ze względu na jego funkcje pseudonimizacji i możliwość wydobywania przy użyciu komputerów średniej i niskiej klasy.

W lutym odkryto, że ponad 34 000 witryn internetowych wykorzystuje koparkę JavaScript CoinHive, która jest również wykorzystywana do wydobywania Monero. Było to według statystyk pochodzących z Wyszukiwanie PublicWWW bazy danych, której można użyć do ujawnienia fragmentów kodu JavaScript w witrynach internetowych.


Koparka CoinHive to w dużej mierze legalna metoda wydobywania w przeglądarce. Obecnie tylko około 19 000 stron internetowych jest wymienionych jako zawierające kod Coinhive. Gwałtowny spadek liczby stron internetowych wykorzystujących koparkę jest prawdopodobnie powiązany ze spadkiem rentowności wydobycia.

Z dala od Coinhive, górnik Smominru Monero został znaleziony być najbardziej aktywnym na wolności i rozprzestrzenia się za pomocą exploita EternalBlue. Jego użycie zostało wykryte po raz pierwszy w maju zeszłego roku, a jego aktorzy podobno w ciągu tygodnia wydobywali Monero o wartości 8500 dolarów. Ich sieć botnetów składała się z ponad 526 000 zainfekowanych węzłów, które wydawały się być serwerami zlokalizowanymi na Tajwanie, w Rosji i Indiach.

Ochrona przed atakami kryptowalut

Łatwo jest chronić komputer przed atakami szkodliwego oprogramowania wykorzystującego kopanie EternalBlue poprzez regularne aktualizowanie systemu Windows i skanowanie w poszukiwaniu wirusów za pomocą programu Windows Defender Antivirus. Użytkownicy komputerów PC powinni również unikać używania „złamanego” oprogramowania, ponieważ wielu z nich tworzy dostęp do tylnych drzwi dla hakerów.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map