Cryptojacking

Нов злонамерен софтуер за копаене на криптовалутата Monero (cryptojacking), разпространяван чрез кракнати версии на популярни онлайн игри, деактивира антивирусната ви програма и тайно добива криптовалута.

Малуерът, наречен „Crackonosh“ (планински дух в чешкия фолклор), дебне в пиратски версии на Grand Theft Auto V, NBA 2K19 и Pro Evolution Soccer 2018, които могат да бъдат изтеглени безплатно във форуми.

Засегнати са повече от 222 хил. уникални устройства, като през май 2021 г. зловредният софтуер регистрира около хиляда посещения на ден, Досега участниците в заплахата са събрали повече от 2 млн. USD под формата на криптовалута.

Винаги имайте едно на ум, че докато се възползвате безплатно от даден софтуер е твърде вероятно някой да се възползва от вас.

Повече за това как Crackonosh деактивира антивирусните програми може да прочетете тук.

Последен ъпдейт на 3 септември 2020 в 11:26 ч.

С 163% се е увеличил обема на cryptojacking атаките през второто тримесечие на 2020 г. след близо 2-годишно затишие, показват данните на Symantec.

При този тип зловредна активност хакерите използват ресурсите на компютрите на жертвите си за копаене на криптовалути. Например, влизате в сайт, в който е инсталиран скрипт на услуга за копаене на криптовалути, който използва системните ви ресурси за копаене. В повечето случаи жертвата дори не разбира, че е засегната – на практика, единственият белег за това е забавяне на засегнатата машина (защото системните ресурси на компютъра са заети с копаенето).

Вероятната причина за ръста е рутер ботнет (зловреден код, придобил контрол върху уязвими рутери).

Интересното в случая е не толкова ръста, а фактът, че се възражда заплаха, приемана за мъртва от доста време. Все пак киберспециалистите смятат че става дума за единичен скок, а не за завръщане.

Делът на засечените cryptojacking атаки е намалял двойно през последното тримесечие на 2018 г., показват данните от анализ на компанията за информационна сигурност Webroot. Вероятно това се дължи на общия спад в стойността на криптовалутите и в частност на монеро, която обикновено се генерира в cryptojacking кампании.

През септември 2018 г. делът на зловредните URL адреси, водещи към копачи за криптовалути, е бил над 10%. Само три месеца по-късно този дял вече намалява към 5%. „Светът на криптовалутите преживя бурен период. Възможно е намаляващите cryptojacking атаки да се дължат на сриващите се цени на криптовалутите. Възможно е да се дължи и на факта, че потребителите започват да вземат превантивни мерки“, коментират от Webroot.

Срив на криптовалутите

Цената на монеро надхвърли 450 долара през януари 2018 г. и след това започна да пада, понижавайки се до едва 46 долара към края на декември 2018 г. Срина се и общата пазарна капитализация на криптовалутите.

Монеро е основната валута, която се генерира от cryptojacking атаки. Падащата й цена означава, че е много по-неизгодно да се осъществяват такива атаки, тъй като те носят все по-малко доходност.

Идва ли краят на cryptojacking атаките?

Според Келвин Мъри е малко вероятно това да се случи скоро. „Криптовалутите и зловредното копаене на валути няма да изчезнат. Дори и след отчетения спад 2018 може да се определи като година, през която криптопрестъпленията нараснаха… Всяко незаконно копаене на криптовалути може да доведе до високи сметки за ток и главоболия за потребителите“, казва Мъри.

Атаките със софтуер за копаене на криптовалути (cryptojacking атаки) са сравнително нова заплаха за бизнеса. Целта им е да използват изчислителната мощ на устройствата във фирмата, за да копаят криптовалути. Проблемът е, че това може да доведе до по-бързото износване на хардуера и да увеличи размера на сметките за електричество.

През първата половина на 2018 г. компанията за информационна сигурност TrendMicro е засякла над 787 хил. опити за атаки с копачи на криптовалути, което е почти 10 пъти повече от същия период на 2017 г. Според анализ на Palo Alto Networks този тип атаки са донесли поне 143 млн. долара печалби на техните организатори.

Опасно безразличие

В същото време бизнесът продължава да пренебрегва тази заплаха, тъй като не вижда негативните ефекти. Такива обаче има.

„Щетите от зловредните копачи на криптовалути не са толкова видими като негативните ефекти от рансъмуера. Това обаче не означава, че фирмите не плащат за тези щети. Копачите на криптовалути крадат изчислителните ресурси на фирмата. Това може да се отрази върху състоянието на мрежата и доведе до амортизация на хардуера, което пък води до по-кратък полезен живот и по-високи разходи за електричество. Копачите на криптовалути са по-незабележима заплаха в сравнение с други форми на малуер. Ако останат под радара, това може да създаде фалшиво усещане за сигурност“, коментират от TrendMicro.

Много вектори на атака

Cryptojacking атаките могат да се случат по много и различни канали. Ето само няколко примера:

Сайтове, в които има скрипт за копаене на криптовалути;

Реклами, в които има вграден cryptojacking скрипт;

Cryptojacking скрипт, който се представя за нов аверсия на Flash Player;

Kомпютър, който използва незащитен отдалечен достъп чрез Remote Desktop Protocol;

Фишинг;

Как да намалите риска от cryptojacking атака

Обучения на служителите

Обучаването на служителите е превантивна мярка както срещу cryptojacking атаки, така и срещу други киберзаплахи. Когато те са инструктурани да не отварят имейли от съмнителен източник или потенциално опасни сайтове, това намалява риска за цялата фирма.

Защита на работните станции

Използвайте софтуер за защита и анализ на работните станции, за да следите активността им и да изолирате онези, в които установите проблем.

Софтуер за блокиране на реклами

Cryptojacking скриптовете могат да стигнат до компютъра през онлайн рекламите (включително и в сайтове като Youtube). Блокирането на онлайн рекламите с Ad blocker намалява риска от заразяване по този канал;

Защита на сървъри

Ако сървърите ви са уязвими, на тях може да се инсталира зловреден софтуер, който копае криптовалути и го натоварва. Използвайте софтуерни решения за защита на сървъри, както и базови правила за защита като силни пароли и многофакторна автентикация.

Политики на достъп

Задайте правила за достъп на служителите до информационни ресурси. Ограничавайки достъпа им до съмнителни сайтове, вие намалявате възможността за cryptojacking атака.

Анализатори на Palo Alto Networks са открили нова кампания с копач на криптовалути, която се инсталира на компютъра заедно с легитимен ъпдейт на популярния Flash Player. По този начин се намалява вероятността потребителят да забележи, че това, което е инсталирал, всъщност е софтуер за копаене на криптовалути.

Атаката се изпълнява със зловреден сайт, който показва фалшиво съобщение за обновяване на Flash Player. Ако потребителят избере да направи обновяването, той всъщност инсталира на компютъра си криптокопача XMRig – популярен софтуер за копаене на криптовалутата Monero.

Заразяването с малуер под формата на фалшив ъпдейт на Flash Player е често срещана тактика. Конкретната атака обаче използва и един допълнителен трик. След като XMRig се инсталира, малуерът действитлено прави и обновяване на Flash Player. Това е начин да се заблуди потребителят, че е инсталирал Flash Player, а не нещо друго.

Скрит на заден план

„Това е напълно легитимен ъпдейт и по този начин жертвата може да не забележи нищо необичайно. Междувременно XMRig или друг нежелан софтуер започва да работи на компютъра“, коментира Брад Дънкан от Palo Alto Networks. Първите опити да се инсталира XMRig заедно с ъпдейт на Flash Player са засечени от компанията през юни 2018 г., а последният пик е забелязан през септември.

„Тази кампания използва легитимна дейност, за да скрие дистрибуцията на криптокопачи и други нежелани програми. Организации с добри уебфилтри и обучени служители са далеч по-малко застрашени от заразяване“, се посочва в анализа.

Скритите криптокопачи (или т.нар. cryptojacking атаки) станаха изключитлено популярни в края на 2017 г. Тогава цените на криптовалутите се изстреляха нагоре и това направи копаенето им доходоносно.

Опасни и често срещани

За разлика от другите киберзаплахи, криптокопачите не криптират файловете ви и не ви пречат да използвате компютъра си. Те обаче изтощават ресурсите на устройството и набъбват сметката за електричество. За организации с много компютри това може да означава значими загуби, например:

• намалена производителност на хардуера;
• износване на хардуера, което е свързано с разходи за амортизация;
• по-големи сметки за електроенергия;
• срив на системите във фирмата;

През второто тримесечие на 2018 г. случаите на скрити криптокопачи са скочили с 86% (или с около 2.5 млн. засечени случая) спрямо първото тримесечие на годината, показват данните на McAfee. „Престъпниците продължават да следват парите. Анализът ни показва, че те мигрират от стари атаки към нови вектори на заплаха, които са по-доходоносни. Както и през първото тримесечие на годината популярността на криптокопачите продължава да расте“, коментират от McAfee.

Ако последните 2 години бяха белязани от главоломен ръст на криптовируите, то 2018 г. е подвластна на нова тенденция – скритото копаене на криптовалути. Скрито, защото става без ясното знание на засегнатите потребители, чийто компютри – а вече все по-често и мобилни телефони – са използвани за „добив“ на криптовалути.

В числа – статистиката показва, че от началото на годината засечените подобни атаки срещу различни сайтове са се увеличили с 27%, а за мобилни устройства – с 4000%.

Как работят?

Целта на cryptojacking атаките не е да криптират файловете ви или да ви попречат да работите с устройството си, а точно обратното – те разчитат на постоянната работа на телефона или таблета ви. Това се дължи на факта, че тези вируси прикрито „копаят“ криптовалути в полза на атакуващия.

Вижте още: Как вашият сървър (или сайт) прави пари за хакерите

В нормални обстоятелства, добивът на криптовалута се осъществява чрез множество отделни (специализирани) процесори, които комбинират изчислителната си мощ. Cryptojacking операциите наподобяват това като комбинират множество заразени устройства – колкото повече, толкова по-големи приходи. Най-често жертви на такива вируси стават потребителите на Android устройства, тъй като контролът при пазарът за приложения не е толкова строг, колкото при iOS.

Напоследък феноменът се разраства при мобилните устройства с притесняващи темпове. Доказателство за това е скорошното разкритие на ESET, че популярната игра Bug Smasher (около 5 милиона сваляния) е включвала прикрит cryptojacker. Въпреки че не са толкова мощни, мобилните устройства са атрактивна цел по няколко очевидни причини. Замислете се, като начало: колко приложения, които не използвате стоят на телефона ви?

Как да открием, че сме заразени

При прекомерно агресивно присъствие на cryptojacker-и, телефонът ви може да не само да се нагрява и бави ненужно, но и батерията ви може да бъде повредена заради постоянното и прекалено бързо разреждане.