卡巴斯基实验室研究人员发现了一种新型的加密货币挖矿软件——PowerGhost,这种恶意软件对全球多个地区的企业网络实施攻击,主要受影响地区为拉丁美洲。这是网络罪犯为了获利,在针对性攻击中更多地使用挖矿软件的一个令人担忧的趋势。随着这一趋势的发展,企业将面临风险,因为挖矿软件会破坏和拖慢企业网络,危害企业的业务流程,在整个过程中,只会让网络罪犯赚钱。
现在,加密货币挖矿软件是一个热门网络安全话题。这种专门的“挖矿”软件可利用受害者的计算机和移动设备的算力生成新的加密货币。恶意挖矿软件以牺牲其他用户为代价,在他们不知情的情况下利用他们的计算机和设备的算力赚钱。这种威胁在最近飙升,正如之前的卡巴斯基实验室研究所示,其取代了勒索软件成为主要类型的恶意软件。但是,PowerGhost的出现为这一趋势增添了新的维度。表明恶意挖矿软件的开发者正在转向针对性攻击,以赚取更多利润,正如卡巴斯基实验室研究热源之前预测的那样。
PowerGhost在企业网络内部进行传播,感染工作站和服务器。截止到目前,这类攻击的主要受害者是巴西、哥伦比亚、印度和土耳其的企业用户。有趣的是,PowerGhost使用多个无文件技巧偷偷在企业网络获得立足点,意味着挖矿软件不会直接将自身存储在硬盘上,从而增加了检测和修复的复杂性。
这种感染通过漏洞利用程序或远程管理工具远程进行。当计算机被感染后,挖矿软件的主题被下载到计算机上并运行,但不会存储在硬盘上。一旦发生,网络罪犯就可以安排挖矿软件自动更新,通过网络进行传播,启动加密伙伴挖矿进程。
“PowerGhost攻击企业的目的是安装挖矿软件,这引起了对加密货币挖矿软件的担忧。我们对挖矿软件的分析表明,网络罪犯针对普通用户进行攻击还不够,现在又将注意力放在企业身上。这使得加密货币挖矿软件成为企业社区面临的又一种威胁,” 卡巴斯基实验室恶意软件分析师Vladas Bulavas说。
卡巴斯基实验室产品将这种威胁检测为:
· PDM:Trojan.Win32.Generic
· PDM:Exploit.Win32.Generic
· HEUR:Trojan.Win32.Generic
· not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
为了降低被挖矿软件感染的风险,建议用户采取以下措施:
1. 确保使用的所有设备上的软件保持更新。避免挖矿软件利用漏洞感染设备,使用能够自动检测和下载以及安装补丁的工具。
2. 不要忽视不太明显的目标,例如排队管理系统、POS终端甚至自动售货机。这类设备也可能被劫持用来挖矿。
3. 使用具备应用程序控制、行为检测和漏洞预防组件以及监控应用程序可疑行为和拦截恶意文件执行的专用安全解决方案。卡巴斯基网络安全解决方案就包括这些功能。
4. 要保护企业环境,需要对员工和IT团队进行安全培训,将敏感数据隔离保存,并限制访问。