Cryptojacking

Cryptojacking не е заплаха, около която се вдига толкова шум, колкото около ransomwarе например. Тя обаче може незабелязано да източва ресурсите и да увеличи разходите ви. Вместо да блокират системите ви, този тип атаки тихомълком превземат изчислителната ви мощ за добив на криптовалута. Те засягат CPU, GPU или облачната ви инфраструктура.

Това струва на компаниите повече, отколкото те осъзнават. Според SonicWall през 2023 г. Cryptojacking атаките са се увеличили с 659%. А за всяка добита криптовалута на стойност 1 USD компаниите са плащали по около 53 USD разходи за облачни услуги. И тъй като не нарушават незабавно работата на системите, тe често остават незабелязани.

Нападателите са разработили няколко метода за вкарване на код за Cryptojacking във вашите системи:

• Drive-by Downloads: Когато потребителите посещават компрометирани уебсайтове, злонамерените Cryptominer могат да се изпълняват автоматично във фонов режим:
• Фишинг имейли: При кликане върху зловредна връзка или изтегляне на файл жертвата несъзнателно изтегля зловреден софтуер;
• Непоправени уязвимости: Инструментите за Cryptojacking често използват уязвимости в сървъри, за да разпространяват зловреден софтуер в мрежите;
• Контейнеризирани среди: Тъй като все повече компании използват контейнери, нападателите вграждат зловредни скриптове за таен добив на криптовалути в такива, съхранявани в публични хранилища.

Защо трябва да ви е грижа

Въпреки че Cryptojacking може да изглежда като незначително неудобство в сравнение с кражбата на данни, въздействието може да бъде сериозно.

Различните сценарии включват:

• Удар по производителността: Cryptojacking източва ресурсите на CPU и GPU, което забавя работата на системите ви. Освен това прекомерната консумация на енергия увеличава сметките ви, натоварва хардуера и може да доведе до прегряване;
• Увеличаване на разходите в облака: Доставчиците на облачни услуги начисляват такси въз основа на използването на ресурсите. Компрометираните виртуални машини или контейнери консумират огромни количества CPU, GPU и памет, което води до неочаквани и често огромни сметки;
• Загуба на производителност: Претоварените системи могат да се сринат или забавят до степен, в която операциите спират;
• Уязвимост на сигурността: Cryptojacking инструментите често се възползват от същите уязвимости, които могат да доведат до по-големи и по-вредни атаки. След като вече има опора в компрометирания ресурс, нападателят може да се възползва от това по всяко време.

Защита срещу Cryptojacking

Cryptojacking атаките могат да бъдат насочени срещу всяка организация, независимо от нейната големина, индустрия или регион.

За да защитите вашия бизнес се нуждаете от проактивна, многопластова защита. Това включва:

• Защита на крайни точки: Съвременните инструменти за защита на крайни точки често включват функционалности за откриване на Cryptojacking. Те следят скоковете в потреблението на ресурси и сигнализират за необичайна активност;
• Мониторинг на мрежата: Софтуерите за Cryptojacking често оставят следи в мрежовия трафик. Инструменти, които анализират моделите на потребление за необичайни връзки, могат да помогнат за ранното откриване и предотвратяване на заплахата;
• Мониторинг на облака: Платформи като AWS CloudWatch и Azure Monitor могат да помогнат за проследяване на скоковете в потреблението на CPU или GPU. Подобни събития са основен признак за Cryptojacking.

Но не е достатъчно просто да внедрите тези инструменти. Те трябва да бъдат правилно конфигурирани и непрекъснато актуализирани, за да се гарантира, че са ефективни срещу най-новите заплахи от този тип.

Нов злонамерен софтуер за копаене на криптовалутата Monero (cryptojacking), разпространяван чрез кракнати версии на популярни онлайн игри, деактивира антивирусната ви програма и тайно добива криптовалута.

Малуерът, наречен „Crackonosh“ (планински дух в чешкия фолклор), дебне в пиратски версии на Grand Theft Auto V, NBA 2K19 и Pro Evolution Soccer 2018, които могат да бъдат изтеглени безплатно във форуми.

Засегнати са повече от 222 хил. уникални устройства, като през май 2021 г. зловредният софтуер регистрира около хиляда посещения на ден, Досега участниците в заплахата са събрали повече от 2 млн. USD под формата на криптовалута.

Винаги имайте едно на ум, че докато се възползвате безплатно от даден софтуер е твърде вероятно някой да се възползва от вас.

Повече за това как Crackonosh деактивира антивирусните програми може да прочетете тук.

Последен ъпдейт на 3 септември 2020 в 11:26 ч.

С 163% се е увеличил обема на cryptojacking атаките през второто тримесечие на 2020 г. след близо 2-годишно затишие, показват данните на Symantec.

При този тип зловредна активност хакерите използват ресурсите на компютрите на жертвите си за копаене на криптовалути. Например, влизате в сайт, в който е инсталиран скрипт на услуга за копаене на криптовалути, който използва системните ви ресурси за копаене. В повечето случаи жертвата дори не разбира, че е засегната – на практика, единственият белег за това е забавяне на засегнатата машина (защото системните ресурси на компютъра са заети с копаенето).

Вероятната причина за ръста е рутер ботнет (зловреден код, придобил контрол върху уязвими рутери).

Интересното в случая е не толкова ръста, а фактът, че се възражда заплаха, приемана за мъртва от доста време. Все пак киберспециалистите смятат че става дума за единичен скок, а не за завръщане.

Делът на засечените cryptojacking атаки е намалял двойно през последното тримесечие на 2018 г., показват данните от анализ на компанията за информационна сигурност Webroot. Вероятно това се дължи на общия спад в стойността на криптовалутите и в частност на монеро, която обикновено се генерира в cryptojacking кампании.

През септември 2018 г. делът на зловредните URL адреси, водещи към копачи за криптовалути, е бил над 10%. Само три месеца по-късно този дял вече намалява към 5%. „Светът на криптовалутите преживя бурен период. Възможно е намаляващите cryptojacking атаки да се дължат на сриващите се цени на криптовалутите. Възможно е да се дължи и на факта, че потребителите започват да вземат превантивни мерки“, коментират от Webroot.

Срив на криптовалутите

Цената на монеро надхвърли 450 долара през януари 2018 г. и след това започна да пада, понижавайки се до едва 46 долара към края на декември 2018 г. Срина се и общата пазарна капитализация на криптовалутите.

Монеро е основната валута, която се генерира от cryptojacking атаки. Падащата й цена означава, че е много по-неизгодно да се осъществяват такива атаки, тъй като те носят все по-малко доходност.

Идва ли краят на cryptojacking атаките?

Според Келвин Мъри е малко вероятно това да се случи скоро. „Криптовалутите и зловредното копаене на валути няма да изчезнат. Дори и след отчетения спад 2018 може да се определи като година, през която криптопрестъпленията нараснаха… Всяко незаконно копаене на криптовалути може да доведе до високи сметки за ток и главоболия за потребителите“, казва Мъри.
[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребители

• Обновявайте постоянно. Това важи както за операционната система и за антивирусната програма, така и за фърмуера на рутера;
• Следете в каква степен браузърът ви натоварва процесора. Твърде голямо натоварване може да означава cryptojacking атака;
• Следете за внезапни ръстове в натоварването на процесора. Ако има такива, сканирайте устройството с подходящо антивирусно решение;
• Защитете вашия RDP;

[/box]

Атаките със софтуер за копаене на криптовалути (cryptojacking атаки) са сравнително нова заплаха за бизнеса. Целта им е да използват изчислителната мощ на устройствата във фирмата, за да копаят криптовалути. Проблемът е, че това може да доведе до по-бързото износване на хардуера и да увеличи размера на сметките за електричество.

През първата половина на 2018 г. компанията за информационна сигурност TrendMicro е засякла над 787 хил. опити за атаки с копачи на криптовалути, което е почти 10 пъти повече от същия период на 2017 г. Според анализ на Palo Alto Networks този тип атаки са донесли поне 143 млн. долара печалби на техните организатори.

Опасно безразличие

В същото време бизнесът продължава да пренебрегва тази заплаха, тъй като не вижда негативните ефекти. Такива обаче има.

„Щетите от зловредните копачи на криптовалути не са толкова видими като негативните ефекти от рансъмуера. Това обаче не означава, че фирмите не плащат за тези щети. Копачите на криптовалути крадат изчислителните ресурси на фирмата. Това може да се отрази върху състоянието на мрежата и доведе до амортизация на хардуера, което пък води до по-кратък полезен живот и по-високи разходи за електричество. Копачите на криптовалути са по-незабележима заплаха в сравнение с други форми на малуер. Ако останат под радара, това може да създаде фалшиво усещане за сигурност“, коментират от TrendMicro.

Много вектори на атака

Cryptojacking атаките могат да се случат по много и различни канали. Ето само няколко примера:

Сайтове, в които има скрипт за копаене на криптовалути;

Реклами, в които има вграден cryptojacking скрипт;

Cryptojacking скрипт, който се представя за нов аверсия на Flash Player;

Kомпютър, който използва незащитен отдалечен достъп чрез Remote Desktop Protocol;

Фишинг;

Как да намалите риска от cryptojacking атака

Обучения на служителите

Обучаването на служителите е превантивна мярка както срещу cryptojacking атаки, така и срещу други киберзаплахи. Когато те са инструктурани да не отварят имейли от съмнителен източник или потенциално опасни сайтове, това намалява риска за цялата фирма.

Защита на работните станции

Използвайте софтуер за защита и анализ на работните станции, за да следите активността им и да изолирате онези, в които установите проблем.

Софтуер за блокиране на реклами

Cryptojacking скриптовете могат да стигнат до компютъра през онлайн рекламите (включително и в сайтове като Youtube). Блокирането на онлайн рекламите с Ad blocker намалява риска от заразяване по този канал;

Защита на сървъри

Ако сървърите ви са уязвими, на тях може да се инсталира зловреден софтуер, който копае криптовалути и го натоварва. Използвайте софтуерни решения за защита на сървъри, както и базови правила за защита като силни пароли и многофакторна автентикация.

Политики на достъп

Задайте правила за достъп на служителите до информационни ресурси. Ограничавайки достъпа им до съмнителни сайтове, вие намалявате възможността за cryptojacking атака.

Анализатори на Palo Alto Networks са открили нова кампания с копач на криптовалути, която се инсталира на компютъра заедно с легитимен ъпдейт на популярния Flash Player. По този начин се намалява вероятността потребителят да забележи, че това, което е инсталирал, всъщност е софтуер за копаене на криптовалути.

Атаката се изпълнява със зловреден сайт, който показва фалшиво съобщение за обновяване на Flash Player. Ако потребителят избере да направи обновяването, той всъщност инсталира на компютъра си криптокопача XMRig – популярен софтуер за копаене на криптовалутата Monero.

Заразяването с малуер под формата на фалшив ъпдейт на Flash Player е често срещана тактика. Конкретната атака обаче използва и един допълнителен трик. След като XMRig се инсталира, малуерът действитлено прави и обновяване на Flash Player. Това е начин да се заблуди потребителят, че е инсталирал Flash Player, а не нещо друго.

Скрит на заден план

„Това е напълно легитимен ъпдейт и по този начин жертвата може да не забележи нищо необичайно. Междувременно XMRig или друг нежелан софтуер започва да работи на компютъра“, коментира Брад Дънкан от Palo Alto Networks. Първите опити да се инсталира XMRig заедно с ъпдейт на Flash Player са засечени от компанията през юни 2018 г., а последният пик е забелязан през септември.

„Тази кампания използва легитимна дейност, за да скрие дистрибуцията на криптокопачи и други нежелани програми. Организации с добри уебфилтри и обучени служители са далеч по-малко застрашени от заразяване“, се посочва в анализа.

Скритите криптокопачи (или т.нар. cryptojacking атаки) станаха изключитлено популярни в края на 2017 г. Тогава цените на криптовалутите се изстреляха нагоре и това направи копаенето им доходоносно.

Опасни и често срещани

За разлика от другите киберзаплахи, криптокопачите не криптират файловете ви и не ви пречат да използвате компютъра си. Те обаче изтощават ресурсите на устройството и набъбват сметката за електричество. За организации с много компютри това може да означава значими загуби, например:

• намалена производителност на хардуера;
• износване на хардуера, което е свързано с разходи за амортизация;
• по-големи сметки за електроенергия;
• срив на системите във фирмата;

През второто тримесечие на 2018 г. случаите на скрити криптокопачи са скочили с 86% (или с около 2.5 млн. засечени случая) спрямо първото тримесечие на годината, показват данните на McAfee. „Престъпниците продължават да следват парите. Анализът ни показва, че те мигрират от стари атаки към нови вектори на заплаха, които са по-доходоносни. Както и през първото тримесечие на годината популярността на криптокопачите продължава да расте“, коментират от McAfee.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребителите

Следете за системно предупреждение, че източникът на ъпдейта е неизвестен. Акатата е възможна единствено ако пренебрегнете това предупреждение;

Използвайте антивирусен софтуер. Повечето антивирусни програми имат защита срещу cryptojacking атаки; [/box]

Ако последните 2 години бяха белязани от главоломен ръст на криптовируите, то 2018 г. е подвластна на нова тенденция – скритото копаене на криптовалути. Скрито, защото става без ясното знание на засегнатите потребители, чийто компютри – а вече все по-често и мобилни телефони – са използвани за „добив“ на криптовалути.

В числа – статистиката показва, че от началото на годината засечените подобни атаки срещу различни сайтове са се увеличили с 27%, а за мобилни устройства – с 4000%.

Как работят?

Целта на cryptojacking атаките не е да криптират файловете ви или да ви попречат да работите с устройството си, а точно обратното – те разчитат на постоянната работа на телефона или таблета ви. Това се дължи на факта, че тези вируси прикрито „копаят“ криптовалути в полза на атакуващия.

Вижте още: Как вашият сървър (или сайт) прави пари за хакерите

В нормални обстоятелства, добивът на криптовалута се осъществява чрез множество отделни (специализирани) процесори, които комбинират изчислителната си мощ. Cryptojacking операциите наподобяват това като комбинират множество заразени устройства – колкото повече, толкова по-големи приходи. Най-често жертви на такива вируси стават потребителите на Android устройства, тъй като контролът при пазарът за приложения не е толкова строг, колкото при iOS.

Напоследък феноменът се разраства при мобилните устройства с притесняващи темпове. Доказателство за това е скорошното разкритие на ESET, че популярната игра Bug Smasher (около 5 милиона сваляния) е включвала прикрит cryptojacker. Въпреки че не са толкова мощни, мобилните устройства са атрактивна цел по няколко очевидни причини. Замислете се, като начало: колко приложения, които не използвате стоят на телефона ви?

Как да открием, че сме заразени

При прекомерно агресивно присъствие на cryptojacker-и, телефонът ви може да не само да се нагрява и бави ненужно, но и батерията ви може да бъде повредена заради постоянното и прекалено бързо разреждане.