روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تله‌متری ما از تاریخ 3 دسامبر 2024 شروع کرد به شناسایی افزایش قابل‌توجهی از فعالیت کریپتوماینری به نام  XMRig. گرچه بیشتر لانچ‌های بدافزار توسط راهکارهای امنیت خانگی شناسایی شدند اما برخی روی سیستم‌های سازمانی پیدا شدند. بررسی‌های کامل‌تر نشان داد مجرمان سایبری داشتند از طریق تورنت‌های گیم، این بدافزار را توزیع می‌کردند. این حمله احتمالاً خیلی‌ها را در کشورهای مختلف شامل روسیه، برزیل و آلمان مورد هدف قرار داد. با این حال، این کریپتوماینر همچنین در شبکه‌های سازمانی نیز سر و کله‌اش پیدا شد- شاید به دلیل اینکه کارمندان از کامپیوترهای کاری برای کاربردهای شخصی استفاده می‌کردند.

کمپین مخرب

این کمپین که تحلیلگران ما از سر محبت آن را StaryDobry (به روسی یعنی "آن خوبِ قدیمی") نامیدند با دقت برنامه‌ریزی شده بود: توزیع‌های مخرب ساخته و در سایت‌های تورنت بین ماه‌های سپتامبر و دسامبر 2024 آپلود شدند. البته که گیم‌ها آلوده ری‌پک بودند- منظورمان نسخه‌های مود هست که برای دور زدن بررسی‌های اصالت طراحی شدند (به بیان دیگر آن‌ها نسخه‌های کرک‌شده هستند). کاربران شروع کردند به دانلود و نصب این بازی‌های تروجانی و برای مدتی این بدافزار هیچ نشانه‌ای از فعالیت نشان نداد. اما پس از آن، در 31 دسامبر، فرمانی از سرور راه دور مهاجمان دریافت کرد که باعث دانلود و اجرای ماینر در دستگاه‌های آلوده شد.

لیست عناوین تروجان‌زده شامل بازی‌های سیم کارت محبوبی مانند Garry’s Mod، BeamNG.Drive و Universe Sandbox می‌شود.

ما نمونه‌ای از بدافزار را از نزدیک بررسی کردیم و موارد زیر را کشف کردیم:

•         قبل از راه‌اندازی، برنامه بررسی می‌کند که آیا در محیط اشکال‌زدایی یا جعبه ایمنی اجرا می‌شود. اگر چنین باشد، نصب فوراً خاتمه می یابد.
•         ماینر یک فایل اجرایی کمی تغییر یافته از XMRig است که در سال 2020 به تفصیل به آن پرداختیم.
•         اگر دستگاه آلوده کمتر از 8 هسته CPU داشته باشد، ماینر اجرا نمی‌شود.
•         محصولات ما بدافزار مورد استفاده در این کمپین را با نام‌های Trojan.Win64.StaryDobry.*، Trojan-Dropper.Win64.StaryDobry.* و HEUR:Trojan.Win64.StaryDobry.gen شناسایی می کنند. جزئیات فنی بیشتر و شاخص‌های مصالحه را می توان در نشریه Securelist یافت.

راهکارهای امنیتی

از نگاه امنیت سازمانی، نگرانی اصلی خود بدافزار نیست بلکه جایی است که در آن کشف شده. ماینر داخل شبکه سازمانی اتفاق ناخوشایندی است اما دست کم داده نمی‌دزدد. با این حال این تضمینی نیست که بار بعد یک گیم ری‌پک سارق یا باج‌افزار پشت خود قایم کرده باشد. مادامیکه کارمندان گیم‌های پایرت‌شده را روی کامپیوترهای کاری نصب می‌کنند، بدافزارهای مربوط به گیمینگ مدام وارد سیستم‌های سازمانی می‌شوند. از این رو اصلی‌ترین توصیه ما به پرسنل امنیت اطلاعات، مسدود کردن تورنت‌ها در سطح سیاست امنیت است (البته مگر اینکه آن‌ها برای پروسه‌های کسب و کار شما لازم باشند). در حالت ایده‌آل، همه‌ی نرم‌افزارهای غیرکاری باید کاملاً ممنوع شوند. افزون بر این، دو توصیه‌ی سنتی هم داریم: راهکار امنیتی مطمئنی را روی همه دستگاه‌های کاری خود نصب کنید. کارمندان را در زمینه اصول بهداشتی امنیت سایبری آموزش دهید.  در اکثریت قریب به اتفاق موارد، اقدامات انسانی به عنوان نقطه ورود برای حملات سایبری به سیستم های شرکتی عمل می کند. به همین دلیل است که آموزش پرسنل در مورد چگونگی شناسایی و پاسخ به تهدیدهای سایبری مرتبط بسیار مهم است. یکی از راه‌های مؤثر برای انجام این کار، استفاده از پلت‌فرم آموزش آنلاین تعاملی ما، پلت‌فرم Kaspersky Automated Security Awareness است.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.