Криптоджекинг (скрытый майнинг) может быть признаком более серьезного заражения

Несмотря на то, что стоимость многих криптовалют недавно упала с их рекордных максимумов, они по-прежнему имеют сильную привлекательность для киберпреступников.



Перспектива использования тысяч устройств для добычи подобных Monero слишком заманчива, чтобы игнорировать, и поэтому произошел массовый всплеск разработки вредоносных программ, которые используют процессоры для генерации денег практически без усилий для преступников и очень часто незаметно для пользователя.

Рост и падение майнинга на основе браузеров

В прошлом году сервис майнинга криптовалют CoinHive выпустил код, который позволит сайтам генерировать доход, используя процессор посетителей сайта через криптомайнинг. Это быстро привело к новой тенденции в вредоносном по: хакеры ставят на вполне «белых» сайтах скрытые коды, которые заставляют компьютер посетителя генерировать им монеро.

В настоящее время подобные коды по оценкам специалистов есть на более чем 35 тысячам сайтов во всемирной паутине. Примечательно, что многие из них – это правительственные сайты, например, правительственный портал Квинсленда, Австралия. По оценке Cisco Talos одна кампания по майнингу может заработать чуть меньше 1,2 миллиона долларов в год!

Однако, хотя браузерный криптоджекинг оказался прибыльным для преступников, бум был недолгим. С тех пор были выпущены различные инструменты – встроенные функции браузера, расширения или функции в продуктах безопасности, которые блокируют несанкционированный крипто-майнинг, тем самым уменьшая количество денег, которое могут собрать хакеры. Что заставляет преступников искать новые цели.

Почему киберпреступники нацелены на ЦП и клиентское оборудование

Вместо того, чтобы полагаться на веб-сайты, преступники обращаются к оборудованию и миллионам процессоров, встроенных в устройства всех форм и размеров в мире.

"Традиционно вы используете графические процессоры для добычи криптовалюты",-говорит Ливиу Арсен, старший аналитик по электронным угрозам BitDefender. “Но преступники понял, почему не пойдет на ЦП?’ У вас есть большее количество потенциальных целей; все имеет процессор внутри него. Они не просто удовлетворены заражением веб-сайтов и ждут, пока жертвы будут просматривать, они фактически развертывают что-то на конечных точках, которые постоянно добывают криптотермины. Вы увеличили прибыльность только потому, что у вас больше целей.”

Криптоджекинг предлагает другой способ зарабатывать деньги по сравнению с тем, который был актуален в 2016-2017 годах. Тогда вымогателей было сразу видно – шифрование файлов и заблокированные экраны. Криптоджекинг же молча работает в фоновом режиме.

Согласно расчетам CyberArk, средний чип Intel потребительского класса может принести атакующему только $8.40 в год. Хотя это может быть не так много само по себе, все устройства ботнета могут дать значительные результаты. В прошлом году ботнет крипто-майнинга Adylkuzz сгенерировал более $20 000 в течение нескольких недель.

Осознание того, что есть деньги, которые будут сделаны из низких и медленных инфекций привело к совершенно новому классу вредоносных программ, предназначенных для конечных точек всех форм и размеров; где серверы, мобильные устройства, промышленные системы, или даже облачная инфраструктура. В прошлом году часть инфраструктуры AWS Tesla была захвачена для добычи криптовалюты, а также Aviva и Gemalto. Ранее в этом году европейский поставщик услуг водоснабжения был найден, чтобы быть первым примером заражения криптоджекинг в системе SCADA. Avast обнаружил преступников, использующих репозитории GitHub для внедрения криптомайнинга в легальные проекты.

В полугодовом отчете о безопасности Checkpoint говорится, что код CoinHive был самым распространенным вредоносным ПО в корпоративных сетях во всем мире, и около 25% организаций во всем мире пострадали.

Такие инфекции попадают в сеть точно так же, как и любые другие вредоносные программы – вредоносные ссылки, приложения с ловушками, поврежденные файлы, известные, но не устраненные уязвимости и т. д. Связанный с NSA эксплойт EternalBlue, используемый в атаке WannaCry, и пятилетняя уязвимость Linux использовались в разных вариантах вредоносных программ. Но такие атаки труднее отследить, чем вымогателей.

Очевидные (и не столь очевидные) последствия криптомайнинга вредоносных программ



По сравнению с вымогателей, cryptojacking вредоносные программы могут показаться не столь уж опасным; процессы по-прежнему работать и без данных заблокирована, уничтожена или украдена. Но есть еще очень реальные последствия.

В прошлом году тестирование Kaspersky вредоносного ПО для Android привело к набуханию и деформации батареи телефона, в то время как Trend Micro нашел вариант, который мог блокировать устройства, поскольку в коде не было ничего для управления использованием процессора. В то время как потеря одного телефона не может быть проблемой, любое вредоносное ПО, которое может физически повредить оборудование, может представлять реальную угрозу, если оно заражает любую критическую инфраструктуру.

Это также может привести к значительному увеличению расходов. Различные охранные компании нашли примеры добычи вредоносных программ, которые находятся в контейнерах, таких как Kubernetes, в то время как охранная фирма PureSec недавно продемонстрировала способ заражения бессерверных функций. Эти облачные службы часто используют автоматическую подготовку, поэтому их можно заставить использовать 100% всего оборудования, на котором они работают, и быстро реплицировать себя на большее количество узлов, что приводит к массовым фермам майнинга и большому счету для компании, которая технически владеет этими экземплярами.

Даже если идея кирпичных телефонов или больших облачных счетов вас не пугает, наличие вредоносных программ любого рода в сети должно вызывать тревогу для команд безопасности.

“Только потому, что это добыча криптовалюты, не означает, что у вас нет пробела в безопасности, потому что, как он туда попал?" говорит Арсен. “Он должен был использовать уязвимость для достижения этой инфраструктуры. Вероятно, это указывает на то, что у вас где-то есть пробел в безопасности.”

Доказательства наличия скрытого майнинга, безусловно, признак того, что злоумышленники присутствовали в вашей сети, но также может означать, что они по-прежнему присутствуют. Также очень возможно, что злоумышленники просто оставили вредоносное ПО для майнинга в конце более серьезной атаки, чтобы заработать дополнительные деньги, то есть что-то более впечатляющее произошло в другом месте.


статьи IT, майнинг, информационная безопасность