New Fileless Crypto Mining Malware Targeting Corporate Servers, Says Kaspersky Lab
«PowerGhost» تهدد مصالح الشركات حول العالم
A new cryptojacking malware that targets corporations in multiple countries, mostly in Latin America, has been uncovered by Kaspersky Lab, an international software security group.
Dubbed PowerGhost, the crypto mining malware creates new coins by using the computing power of a victim PC and mobile devices. It is distributed within corporate networks, infecting both workstations and servers. To increase the complexity of its detection and remediation, the mining malware does not store its body directly onto a disk. PowerGhost uses multiple fileless techniques to discreetly gain a foothold in corporate networks. According to Kaspersky, the main victims of this attack so far have been corporate users in Brazil, Colombia, India, and Turkey.
“Machine infection occurs remotely through exploits or remote administration tools,” the security group said. “When the machine is infected, the main body of the miner is downloaded and run without being stored on the hard disk. Once this has happened, cybercriminals can arrange for the miner to automatically update, spread within the network, and launch the crypto-mining process.”
Vladas Bulavas, malware analyst at Kaspersky Lab, said that PowerGhost attacks on businesses, for the purpose of installing miners, raise new concerns about crypto mining software.
“The miner we examined indicates that targeting users is not enough – cybercriminals are now turning their attention to enterprises too,” said Bulavas. “And this makes cryptocurrency mining a threat to the business community.”
Earlier this month, cybersecurity firm McAfee reported that crypto mining malware grew at 629 percent in Q1 2018, rocketing from around 400,000 total known samples in Q4 2017 to over 2.9 million the next quarter. Crypto mining malware has also replaced ransomware as the main type of malicious software due to high–profit opportunity and low chance of being discovered.
To reduce the risk of infection, Kaspersky Lab has advised companies to educate their employees and IT teams and keep sensitive data separate. They should also use a dedicated security solution that is empowered with application control, behaviour detection, and exploit prevention components that monitor the suspicious actions of applications and block malicious file executions.
source: blocktribune.com
عثر باحثون لدى كاسبرسكي لاب على نوع جديد من الهجمات الخاصة بتعدين العملات الرقمية المشفرة. ووجد الباحثون أن الهجوم المسمّى PowerGhost يضرب الشبكات الحاسوبية في الشركات والمؤسسات في عدة مناطق حول العالم، معظمها في أميركا اللاتينية. ويشكّل هذا الهجوم أحدث تطوّر في إطار توجّه متزايد لدى المجرمين الإلكترونيين على نحو يثير القلق لاستخدام أدوات تعدين متطورة في هجمات موجّهة تتمّ ضمن مساعيهم الرامية إلى تحقيق مكاسب مالية. ومن شأن تنامي هذا التوجّه أن يعرّض الشركات للخطر، إذ تُخرِّب هجمات التعدين شبكات الحاسوب وتبطِئها، ملحقة ضرراً كبيراً بالعمليات التجارية وخسائر مادية بالشركات.
تشكّل هجمات تعدين العملات الرقمية المشفرة أحد المواضيع الساخنة في مجال الأمن الإلكتروني في الوقت الراهن، إذ تقوم برمجية «التعدين» المتخصصة بتوليد عملات معدنية باستخدام قوة الحوسبة الخاصة بأجهزة الحاسوب والهواتف المحمولة التابعة للجهة التي وقعت ضحية لهجوم التعدين. وتُنشئ الجهات التي تقف خلف تلك الهجمات العملات الجديدة على حساب مستخدمين آخرين، مستغِلّة طاقة أجهزتهم من دون علمهم. وقد تصاعد هذا النوع من التهديدات في الآونة الأخيرة، ليحلّ محل هجمات طلب الفدية، بوصفه النوع الأبرز من البرمجيات الخبيثة، مثلما أظهرت دراسة بحثية سابقة لكاسبرسكي لاب. إلاّ أن ظهور PowerGhost يضيف بُعداً جديداً لهذا التوجّه، فهو يدلّ على أن الجهات الخبيثة التي تقف وراء هجمات التعدين باتت تتحول إلى استخدام الهجمات الموجّهة بُغية تحقيق مكاسب مالية أكبر، ما يوافق توقعات سابقة لباحثي كاسبرسكي لاب.
ويجري توزيع برمجية PowerGhost داخل شبكات الشركات، لتصيب محطات العمل والخوادم على السواء. وتضمّ أبرز البلدان المستهدَفة بهذا الهجوم، حتى الآن، البرازيل وكولومبيا والهند وتركيا. ومن المثير للاهتمام أن PowerGhost يستخدم أساليب متعددة لا تعتمد على الملفات للحصول بطريقة خفيّة على موطئ قدم في الشبكات المؤسسية، ما يعني أن أداة التعدين لا تخزن نفسها مباشرة على قرص التخزين في الجهاز، الأمر الذي يعقّد عملية الكشف عنها والتعامل معها.
وتتمّ عن بُعد إصابة الجهاز عبر محاولات اختراق أو باللجوء إلى أدوات إدارة تعمل عن بُعد، وعند إصابته يتم تنزيل أداة التعدين الرئيسة وتشغيلها من دون تخزينها على القرص الصلب. وبمجرّد حدوث ذلك يمكن للمجرمين الإلكترونيين إعداد الأداة لتتلقّى التحديثات وتنتشر داخل الشبكة وتشرَع في عملية التعدين تلقائياً.
وقال ڤلاداس بولاڤاس، محلّل البرمجيات الخبيثة في كاسبرسكي لاب، إن هجمات PowerGhost التي تُشنّ على الشركات، لغرض تثبيت أدوات تعدين العملات الرقمية المشفرة «تثير مخاوف جديدة بشأن هذه البرمجيات»، موضحاً أن فحص أداة التعدين هذه بيّن أن استهداف المستخدمين وحدهم «لم يعد كافياً»، وأضاف: «يقوم مجرمو الإنترنت الآن بتحويل انتباههم إلى الشركات أيضاً، ما يجعل تعدين العملات المشفرة مصدر تهديد آخر لمجتمع الأعمال».
وتستطيع حلول كاسبرسكي لاب أن تكشف عن التهديدات التالية:
• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
توصيات
وتوصي كاسبرسكي المستخدمين باتباع الخطوات التالية من أجل خفض خطر الإصابة بهجمات التعدين:
1. الحرص دائماً على تحديث البرمجيات والأنظمة على جميع الأجهزة، لمنع هجمات التعدين من استغلال الثغرات الأمنية، واستخدم الأدوات التي يمكنها اكتشاف الثغرات وتنزيل الإصلاحات الخاصة بها وتثبيتها تلقائياً.
2. عدم تجاهل الأهداف الأقل وضوحاً، مثل أنظمة إدارة الانتظار، ونقاط البيع، وحتى أجهزة البيع الآلية، إذ يمكن أن تكون هذه الأجهزة مستغلّة في عمليات التعدين.
3. استخدام حل أمني مخصّص يتم تمكينه من التحكم في التطبيقات وكشف السلوك، يكون مشتملاً على مكوّنات الوقاية من الاستغلال التي تراقب الإجراءات المشبوهة للتطبيقات وتمنع تشغيل الملفات الخبيثة، وهي وظائف توجد في الحلّ Kaspersky Endpoint Security for Business.
4. توعية الموظفين وفرق تقنية المعلومات، والحفاظ على البيانات الحساسة منفصلة، وفرض قيود تقنية صارمة على الوصول إليها، لضمان حماية بيئة الشركات.;
