Một làn sóng phần mềm độc hại khai thác tiền điện tử nguy hiểm mới đã xuất hiện trên internet và nó đã lây nhiễm hàng ngàn doanh nghiệp có giá trị cao trên khắp châu Á.
Được biết như "Beapy, Phần mềm độc hại sử dụng khai thác NSA bị rò rỉ và thông tin đăng nhập bị hack để phát tán qua các mạng bị lộ càng nhanh càng tốt. Nó thậm chí có khả năng lây nhiễm các máy vá.
Công ty nghiên cứu an ninh mạng Symantec, đã theo dõi mối đe dọa, báo cáo Beapy là một coinminer dựa trên tệp sử dụng email làm vector truyền nhiễm ban đầu.
Chiến dịch này chứng minh rằng mặc dù tiền điện tử đã giảm phổ biến với tội phạm mạng kể từ khi đạt đỉnh vào đầu năm 2018, nhưng nó vẫn là trọng tâm đối với một số người, với các doanh nghiệp hiện là mục tiêu chính của họ, đó là mục tiêu bổ sung.
Symantec lần đầu tiên ghi lại Beapy vào tháng 1 năm 2019 và nó thường lây nhiễm qua email. Hoạt động đã tăng lên kể từ đầu tháng ba.
Đây là cách Beapy lây nhiễm và phát tán phần mềm độc hại của nó
Vectơ tấn công ban đầu của Beapy, là các bảng tính Excel độc hại được phân phối trong email, ít nhất là trong một số trường hợp.
Nếu người nhận mở tệp đính kèm, khai thác thứ cấp do NSA xây dựng được gọi là DoublePulsar được tải xuống, được sử dụng bởi sử thi Muốn khóc Những kẻ tấn công ransomware gây chấn động thế giới năm 2017.
DoublePulsar chịu trách nhiệm mở một cửa hậu trên các máy bị nhiễm, cho phép các lệnh được thực thi từ xa bởi những kẻ tấn công.
Symantec cho biết, một khi DoublePulsar được cài đặt, lệnh PowerShell được thực thi và liên lạc được thực hiện với máy chủ điều khiển và lệnh Beapy, trước khi một coinminer được tải xuống máy tính mục tiêu, Symantec nói.
Phần mềm độc hại sau đó sử dụng một khai thác nổi tiếng khác, Vĩnh cửu, để lan truyền khắp các mạng – nhưng đó không phải là kỹ thuật lan truyền.
Các nhà nghiên cứu đã quan sát nó bằng cách sử dụng công cụ đánh cắp thông tin Hacktool.Mimikatz để thu thập thông tin xác thực từ các máy tính bị nhiễm, cho phép Beapy lây lan sang các máy đã được vá với EternalBlue.
Cấm Beapy cũng sử dụng một danh sách mã hóa tên người dùng và mật khẩu để cố gắng phát tán trên các mạng. Điều này tương tự như cách con sâu Bluwimps hoạt động, Symantec nói. Blu Bluimimps đã lây nhiễm hàng ngàn máy doanh nghiệp với coinminers trong năm 2017 và 2018.
Symantec thậm chí đã phát hiện một phiên bản Beapy trước đó được ẩn trên một máy chủ web công khai. Con sâu đã cố gắng lây nhiễm bằng cách tạo một danh sách các địa chỉ IP của các máy tính được kết nối.
Phiên bản của Beapy được thấy trên máy chủ web là phiên bản đầu tiên của phần mềm độc hại, được mã hóa bằng C thay vì Python, giống như các phiên bản sau này, Sym Symecec tiết lộ. Tuy nhiên, hoạt động tương tự, với phần mềm độc hại được tải xuống cũng chứa các mô-đun Mimikatz để thu thập thông tin xác thực, cũng như khả năng khai thác EternalBlue.
Beapy có khả năng worm worm
Các nhà nghiên cứu của Symantec đã tìm thấy hầu hết các nạn nhân của Beapy, là các doanh nghiệp, theo họ có thể cho thấy sự tiếp tục của các xu hướng phần mềm độc hại trước đó đã chứng kiến tội phạm tấn công tiền điện tử chuyển sang hack các mạng doanh nghiệp.
Symantec cho biết, mặc dù chúng tôi không có bằng chứng nào cho thấy các cuộc tấn công này được nhắm mục tiêu, nhưng các khả năng của worm worm Beapy cho thấy rằng nó có thể luôn có ý định lan truyền khắp các mạng doanh nghiệp
Điều này phản ánh xu hướng mà chúng ta đã thấy trong ransomware vào năm 2018 cũng vậy, mặc dù đã giảm 20% số ca nhiễm ransomware, nhưng nhiễm ransomware ở các doanh nghiệp tăng 12%, thì Sym Symec vẫn tiếp tục. Các doanh nghiệp có vẻ như là một trọng tâm ngày càng tăng đối với tội phạm mạng.
Thật vậy, 98 phần trăm ca nhiễm Beapy được ghi nhận là máy doanh nghiệp và 83 phần trăm được đặt tại Trung Quốc.
Phần mềm Beapy là một coinminer dựa trên tệp, điều này rất thú vị vì hầu hết các hoạt động khai thác tiền điện tử mà chúng tôi thấy ở mức độ phổ biến của nó được thực hiện bằng cách sử dụng coinminers dựa trên trình duyệt, phổ biến do các rào cản thấp hơn để vào và vì chúng cho phép Symantec cho biết ngay cả những máy được vá hoàn toàn sẽ được nhắm mục tiêu.
Khai thác tiền điện tử Monero tiền điện tử nhanh hơn CoinHive
Nhà phân tích tình báo mối đe dọa Symantec Alan Neville nói với Hard Fork rằng họ đã quan sát thấy các máy bị nhiễm tải xuống công cụ khai thác tiền điện tử XMRig từ cơ sở hạ tầng riêng của kẻ tấn công.
Phần mềm Chúng tôi tin rằng những kẻ tấn công đang khai thác Monero, khi chúng tôi quan sát một người khai thác được gọi là XMRig đang được tải xuống – điều này là dành riêng cho Monero, xác nhận của Neville. Phần mềm này đã được đặc trưng trong các mối đe dọa phần mềm độc hại được báo cáo trước đây.
Symantec lưu ý các đồng tiền dựa trên tệp như XMRig khai thác tiền điện tử nhanh hơn đáng kể so với các công cụ khai thác dựa trên trình duyệt như (hiện không còn tồn tại) CoinHive.
Tiền điện tử Monero, là loại tiền điện tử được khai thác phổ biến nhất trong các cuộc tấn công mã hóa, đã giảm 90% giá trị trong năm 2018, do đó, có thể có ý nghĩa rằng các công cụ khai thác có thể tạo ra nhiều loại tiền điện tử nhanh hơn hiện đang phổ biến hơn với tội phạm mạng. Symantec.
Công ty lưu ý rằng các công cụ khai thác dựa trên tệp (như các công cụ khai thác trong Beapy) nắm giữ lợi thế đáng kể so với các công cụ khai thác dựa trên trình duyệt như CoinHive, chủ yếu vì chúng khai thác tiền điện tử (và trả lại lợi nhuận cho kẻ tấn công) nhanh hơn nhiều.
Khai thác dựa trên trình duyệt đã hết, hack các doanh nghiệp Châu Á đang ở
Symantec cảnh báo các doanh nghiệp mà họ không nên tự mãn với mối đe dọa Beapy và kêu gọi họ xem xét các tác động lớn mà Beapy có thể gây ra cho các doanh nghiệp.
Công ty nhấn mạnh các mối quan tâm tiềm năng của Beapy bao gồm làm chậm hiệu suất thiết bị, dẫn đến sự thất vọng và giảm hoạt động của nhân viên.
Symantec cũng nhấn mạnh phần mềm độc hại có thể gây ra chi phí CNTT cao hơn do sự xuống cấp phần cứng và các doanh nghiệp hoạt động trong đám mây có thể phải đối mặt với các hóa đơn lớn, đặc biệt là các dịch vụ trả phí dựa trên việc sử dụng CPU.
Các nhà nghiên cứu cho biết, mặc dù có sự sụt giảm trong hoạt động khai thác tiền điện tử vào năm 2018, nhưng khi tỷ lệ tấn công tiền điện tử giảm 52%, đây vẫn là một lĩnh vực được quan tâm đối với tội phạm mạng.
Thật vậy, Symantec đã ghi nhận chỉ dưới 3 triệu lần thử mã hóa vào tháng 3 năm 2019. Sau khi giảm mạnh từ đỉnh tháng 2 năm 2018, khi có 8 triệu lần thử mã hóa, nó vẫn là một con số đáng kể, họ đã thêm vào.
Để giảm thiểu rủi ro, các doanh nghiệp được khuyến khích để đảm bảo mạng của họ được bảo vệ bởi nhiều hệ thống phòng thủ hỗ trợ lẫn nhau, chồng chéo, như điểm cuối, email và công nghệ bảo vệ cổng web.
Symantec cũng khuyên các doanh nghiệp giáo dục nhân viên của họ về các triệu chứng của việc mã hóa tiền điện tử, cũng như cách tránh các tệp đính kèm email tinh ranh như các phần mềm được sử dụng bởi phần mềm độc hại Beapy.
Bạn có biết không? Hard Fork có sân khấu riêng tại TNW2019, hội nghị công nghệ của chúng tôi ở Amsterdam. Kiểm tra nó.
Xuất bản ngày 25 tháng 4 năm 2019 – 10:19 UTC
Nguồn The Next Web