روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بر طبق گزارشاتی که برای عموم در دسترس است، Smominru که از سال 2017 فعال بوده اکنون به بدافزار کامپیوتریای تبدیل شده است که دارد بیشترین روند شیوع را طی میکند. در سال 2019، فقط در ماه آگست- این بدافزار 90 هزار دستگاه را در سراسر جهان آلوده کرد. نرخ این آلودگی به ازای هر روز، تا سقف 4700 کامپیوتر گزارش شده است. چین، تایوان، روسیه، برزیل و آمریکا بیشتری میزان حملات بهشان وارد شده است؛ اما این بدان معنا نیست که سایر کشورها از خطر این بدافزار پلید در امانند. برای مثال، بزرگترین شبکهی اینترنتی که Smominru مورد هدف قرار داد در ایتالیا بود که 65 میزبان آلوده شد.
چطور باتنت Smominru رشد میکند؟
مجرمان دخیل در این حمله خیلی روی هدفهایشان وسواسی نیستند، میشود گفت طیف حملاتشان از دانشگاهها گرفته تا مراکز مراقبتهای بهداشتی را در برمیگیرد. با این حال، بین همهشان یک چیز ثابت است: حدود 85 درصد این آلودگیها روی ویندوز 7 و سیستمهای ویندوز سرور 2008 صورت میگیرد. بقیه سیستمها نیز شامل ویندوز سرور 2012، ویندوز اکسپی و ویندوز سرور 2003 میشود.
تقریباً یکچهارم دستگاههای آلوده باری دیگر بعد از اینکه Smominru از آنها جدا شد نیز باز آلوده شدند. به عبارت دیگر، برخی قربانیان سیستمهای خود را پاک کردند اما یادشان رفت علت ریشهای را از بین ببرند. اینجا سوالی که پیش میآید این است: علت ریشهای چیست؟ بسیارخوب، این باتنت از چندین روش برای سرایت کردن و منشعب شدن استفاده میکند اما در درجهی اول سیستم را به یکی از این دو روش آلوده میکند: یا با حمله جستجوی فراگیر[1] اطلاعات محرمانهی ضعیف (روی خدمات ویندوز مختلف) یا با تکیه بر اکسپلویت بدنامِ EternalBlue (متود دوم بیشتر استفاده میشود). گرچه مایکروسافت برای آسیبپذیریای که EternalBlue اکسپلویت کرد، پچی ارائه داد (همین باعث شیوع WannaCry و NotPetya در سال 2017 شد که حتی سیستمهای رهاشده[2] را نیز درگیر کرد) اما بسیاری از شرکتها خیلی راحت آپدیتها را نادیده میگیرند.
باتنت Smominru در عمل
Smominru بعد از دستکاری سیستم، یوزرِ جدیدی به نام admin$ میسازد که تمام مزایای ادمین را روی سیستم داشته و شروع میکند به دانلود همهی پیلودهای آلوده. واضحترین هدف این است که به آرامی از کامپیوترهای آلودهشده برای ماین کردن رمزارز (که نامش Monero است) استفاده کند؛ در این میان تنها کسی که سخت متضرر خواهد شد، خود قربانیست.
با این حال، ماجرا به همینجا ختم نمیشود: این بدافزار همچنین مجموعهای از ماژولهای بکار رفته برای جاسوسی، استخراج دادهها و سرقت اطلاعات محرمانه را دانلود میکند. مهمتر اینکه، وقتی Smominru جا پای خودش را محکم کرد، سعی میکند داخل شبکه تا حد امکان منشعب شود تا بدینترتیب هر قدر که توان دارد سیستمها را آلوده کند.
جالب است بدانید که این باتنت به شدت تکرو است و از رقیب خوشش نمیآید؛ در واقع هر حریفی که روی کامپیوتر آلودهشده پیدا کند درجا خواهد کشت. به بیانی دیگر، نه تنها هر فعالیت مخربی را روی دستگاه مورد هدف غیرفعال و قطع میکند که همچنین جلوی پیشروی آلودگیِ رقبا را نیز میگیرد.
زیرساخت حمله
این باتنت به بیش از 20 سرور اختصاصی وابسته است که بیشتر مقرشان در آمریکاست؛ هرچند برخی از آنها از مالزی یا بلغارستان میزبانی میشوند. زیرساخت حملهی Smominru توزیع گستردهای دارد، پیچیده است و به شدت انعطافپذیر تا جایی که شاید نتوان به آسانی آن را شکست داد؛ بنابراین به نظر میرسد این باتنت تا مدتها بتواند فعال باشد.
اما چطور باید از شر آن در امان ماند؟
- سیستمعاملها و سایر نرمافزارها را مرتباً آپدیت کنید.
- از رمزعبورهای قوی استفاده کنید. یک بستهی مدیریت کلمهی عبورِ مطمئن به شما کمک میکند بتوانید رمزعبور بسازید، آن را مدیریت کنید، به طور خودکار بازیابیاش کرده و آن را وارد نمایید. اینگونه تضمین میدهیم دیگر هیچ حملهی جستجوی فراگیری نمیتواند به شما آسیبی برساند.
- از راهحل امنیتی مطمئن استفاده کنید.
[1] brute-force attack
[2] discontinued systems
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.