סופוס, מובילה גלובלית באבטחת מידע של הדור הבא, פרסמה דוח חדש אודות מתקפת MrbMiner. הדוח בשם "MrbMiner: Cryptojacking to bypass international sanctions", עוקב אחר מקור ההתקפות ומוביל לחברת פיתוח תוכנה קטנה באיראן.
MrbMiner הוא כורה מטבעות קרפטוגרפיים שנחשף לאחרונה, ואשר תוקף שרתים של בסיסי נתונים המחוברים לאינטרנט (SQL Server), בהם הוא מתקין כורה מטבעות. שרתים של בסיסי נתונים הם מטרות מושכות עבר כורים מכיוון שהם משמשים לצורך פעילות עתירת משאבים, ולכן יש להם יכולת עיבוד גבוהה.
SophosLabs מצאה כי התוקפים השתמשו במספר אפיקים כדי להתקין את תוכנת הכריה הזדונית על גבי שרת היעד. המטען הזדוני לכריית מטבעות בו השתמשו וקבצי ההגדרות נארזו בקבצי ארכיב מסוג ZIP בעלי שמות מטעים.
השם של חברת התוכנה האיראנית קודד בקובץ ההגדרות הראשי של תוכנת הכרייה. הדומיין הזה מחובר לקבצי ZIP רבים אחרים אשר מכילים עותקים של תוכנת הכרייה. קבצי ZIP אלו הורדו אל השרתים מדומיינים אחרים, שאחד מהם הוא mrbftp.xyz.
"בדרכים רבות, הפעילות של MrbMiner נראית טיפוסית לרוב התקפות הכריה שראינו כנגד שרתים המחוברים לרשת", אמר גבור סזפנוס, מנהל אבטחת איומים, SophosLabs. "אבל כאן נראה שהתוקף הסיר כל מעטה של זהירות בכל הנוגע להסתרת הזהות שלו. רבות מהרשומות הקשורות להגדרות תוכנת הכרייה, כולל הדומיינים וכתובת ה-IP, מובילות למקור בודד: חברת תוכנה קטנה המבוססת באיראן".
"בעידן של מתקפות כופר בהיקפים של מיליוני דולרים, אשר מפילות ארגונים שלמים לברכיים, קל לבטל את ה-cryptojacking כמטרד, ולא לראות בו איום רציני. אבל זו תהיה טעות. Cryptojacking הוא איום שקט ובלתי נראה, שקל להטמיעו וקשה מאוד לזהותו. יותר מכך, ברגע שמערכת נפגעה, היא מהווה שער פתוח לאיומים אחרים, כגון תוכנות כופר. לכן, חשוב לעצור cyptojacking במקום. חפשו אחר סימנים כגון ירידה במהירות וביצועי המחשב, שימוש גובר בחשמל, חימום יתר של מכשירים ושימוש גובר ב-CPU".
מידע נוסף אודות MrbMiner ואיומי סייבר אחרים ניתן למצוא ב- SophosLabs Uncut, כאן ניתן למצוא מחקרים עדכניים בתחום הכופרות וממצאים פורצי דרך, כגון המורכבות הגוברת של Kingminer, התקיפה של Duck Cryptominer על אפליקציות ענן ולינוקס, וכן תוכנות הכריה והקוד הזדוני Forshare שמפיץ הבוטנט של Mykings.
למידע נוסף-
למידע על איומי כופר, ראו five early indicators an attacker is present.
. Sophos 2021 Threat Report למידע על איומים נוספים, לרבות איומי כופר, ראו
לאינדיקטורים נוספים, ראו SophosLabs Github.
למידע וידיעות נוספות של סופוס, ראו Naked Security, Sophos News, Twitter, LinkedIn, Facebook, Spiceworks, YouTube.