Narzędzia NSA używane do wyzwalania złośliwego oprogramowania Crypto Mining przez hakerów
Hakerzy używają oprogramowania opracowanego przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA) do nielegalnego pozyskiwania kryptowalut. Według najnowszego raportu wydanego przez Cyber Threat Alliance (CTA), opracowanego przez grupę ekspertów ds. Bezpieczeństwa cybernetycznego z McAfee, Cisco Talos, NTT Security, Rapid7 i Sophos, wykrywanie szkodliwego oprogramowania kryptograficznego przekroczyło 400 procent w ciągu ostatnich 1,5 roku.
Hakerzy przejmują zasoby procesorów komputerowych za pomocą włamań do infrastruktury sieciowej oraz włamań komputerowych. Jednym z bardziej niepokojących trendów jest wykorzystanie exploita NSA ujawnionego na początku zeszłego roku przez Shadow Brokers o nazwie EternalBlue.
Wkrótce po wydaniu kodu źródłowego cyberprzestępcy wykorzystali to narzędzie do przeprowadzenia niszczycielskiego ataku ransomware o nazwie WannaCry, który doprowadził do zainfekowania około 200 000 komputerów w ponad 100 krajach. Brytyjska Narodowa Służba Zdrowia (NHS) była jedną z instytucji będących celem ataku i doświadczyła w wyniku tego zamknięcia sieci.
Zgodnie z nowymi raportami, ten sam exploit jest wykorzystywany do wykorzystywania mocy kryptograficznej przy użyciu szkodliwego oprogramowania o nazwie WannaMine. Komputery, które zostały zainfekowane, mogą stać się wolne lub mogą wystąpić problemy z przegrzaniem sprzętu. Jednak niektóre ataki są bardziej wyrafinowane. Monitorują użycie myszki lub procesora i automatycznie wstrzymują operacje, gdy przetwarzanie mocy przekracza określony próg.
Ta funkcja sprawia, że są trudniejsze do wykrycia, co pozwala im przetrwać i ostatecznie generować większe zyski cyberprzestępców. Ogólnie, infekcje EternalBlue są trudne do wykrycia ze względu na ich zdolność do pracy bez pobierania dodatkowych plików aplikacji.
Jak działa złośliwe oprogramowanie WannaMine Crypto Mining
WannaMine jest najbardziej znanym, opartym na EternalBlue, narzędziem do wyszukiwania kryptograficznego. Stwierdzono że rozprzestrzenia się na różne sposoby. Głównie są to użytkownicy Internetu pobierający fałszywe oprogramowanie z nieoficjalnych źródeł, załączniki do wiadomości e-mail oraz mylące monity o aktualizację oprogramowania.
Opiera się na narzędziach zarządzania Windows i kamufluje się w ramach legalnych procesów. W związku z tym nie działa na urządzeniach z Androidem lub iOS. Pozwala jednak hakerowi na pobieranie i wysyłanie plików na komputer, wyliczanie uruchomionych procesów, wykonywanie dowolnych poleceń, gromadzenie informacji specyficznych dla systemu, takich jak adresy IP i nazwa komputera i pozwala intruzowi zmienić niektóre ustawienia urządzenia.
Wannamine zazwyczaj używa Mimikatz, narzędzia hakerskiego Windows używanego do „crackowania” oprogramowania, aby uzyskać większą kontrolę nad systemem. Ma także możliwość eksportowania certyfikatów bezpieczeństwa, zastępowania Microsoft AppLocker i procesów związanych z ograniczaniem uprawnień do oprogramowania a także modyfikowania uprawnień.