Копач на криптовалути

Делът на засечените cryptojacking атаки е намалял двойно през последното тримесечие на 2018 г., показват данните от анализ на компанията за информационна сигурност Webroot. Вероятно това се дължи на общия спад в стойността на криптовалутите и в частност на монеро, която обикновено се генерира в cryptojacking кампании.

През септември 2018 г. делът на зловредните URL адреси, водещи към копачи за криптовалути, е бил над 10%. Само три месеца по-късно този дял вече намалява към 5%. „Светът на криптовалутите преживя бурен период. Възможно е намаляващите cryptojacking атаки да се дължат на сриващите се цени на криптовалутите. Възможно е да се дължи и на факта, че потребителите започват да вземат превантивни мерки“, коментират от Webroot.

Срив на криптовалутите

Цената на монеро надхвърли 450 долара през януари 2018 г. и след това започна да пада, понижавайки се до едва 46 долара към края на декември 2018 г. Срина се и общата пазарна капитализация на криптовалутите.

Монеро е основната валута, която се генерира от cryptojacking атаки. Падащата й цена означава, че е много по-неизгодно да се осъществяват такива атаки, тъй като те носят все по-малко доходност.

Идва ли краят на cryptojacking атаките?

Според Келвин Мъри е малко вероятно това да се случи скоро. „Криптовалутите и зловредното копаене на валути няма да изчезнат. Дори и след отчетения спад 2018 може да се определи като година, през която криптопрестъпленията нараснаха… Всяко незаконно копаене на криптовалути може да доведе до високи сметки за ток и главоболия за потребителите“, казва Мъри.
[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребители

• Обновявайте постоянно. Това важи както за операционната система и за антивирусната програма, така и за фърмуера на рутера;
• Следете в каква степен браузърът ви натоварва процесора. Твърде голямо натоварване може да означава cryptojacking атака;
• Следете за внезапни ръстове в натоварването на процесора. Ако има такива, сканирайте устройството с подходящо антивирусно решение;
• Защитете вашия RDP;

[/box]

Койнмайнърите са окупирали челната тройка в Global Threat Index – класация на най-често засичаните форми на малуер, която се публикува от Check Point.

За 13-и пореден месец лидер в класацията е Coinhive. Това е най-популярният код за копаене на криптовалути в света. Coinhive засяга около 12% от организациите по света според Check Point. Следват го койнмайнърите XMRig (8% от институциите) и JSEcoin (7%).

„Организациите продължават да са цел на койнмайнърите. Това се случва, въпреки че цените на криптовалутите паднаха през 2018 г.“, коментират от компанията.

Атаките с койнмайнъри, или cryptojacking атаки, са донесли на своите организатори над 143 млн. долара според прогноза на Palo Alto Networks. Само в региона на Близкия изток, Турция и Африка са засечени 13 млн. опита за атаки с койнмайнъри през 2018 г. според статистиката на Kaspersky. Това е четирикратно увеличение спрямо предходната година.

Пораженията от повечето форми на малуер се виждат веднага. Вредата от койнмайнърите обаче остава скрита за бизнеса и индивидуалните потребители. Което не означава, че не съществува. Кодовете за копане на криптовалути могат да амортизират информационните системи във фирмата. Те могат да увеличат разходите за тяхната поддръжка, да раздуят сметките за ток.

Затова койнмайнърите се считат за по-безопасни и доходоносни форми на малуер от компютърните престъпници. Това обяснява и огромната им популярност през 2018 г.

Ако искате да се предпазите от този нов и популярен тип заплаха, прочетете нашия съветник „Пет начина да намалите рисковете от cryptojacking атаки“.

 

Атаките със софтуер за копаене на криптовалути (cryptojacking атаки) са сравнително нова заплаха за бизнеса. Целта им е да използват изчислителната мощ на устройствата във фирмата, за да копаят криптовалути. Проблемът е, че това може да доведе до по-бързото износване на хардуера и да увеличи размера на сметките за електричество.

През първата половина на 2018 г. компанията за информационна сигурност TrendMicro е засякла над 787 хил. опити за атаки с копачи на криптовалути, което е почти 10 пъти повече от същия период на 2017 г. Според анализ на Palo Alto Networks този тип атаки са донесли поне 143 млн. долара печалби на техните организатори.

Опасно безразличие

В същото време бизнесът продължава да пренебрегва тази заплаха, тъй като не вижда негативните ефекти. Такива обаче има.

„Щетите от зловредните копачи на криптовалути не са толкова видими като негативните ефекти от рансъмуера. Това обаче не означава, че фирмите не плащат за тези щети. Копачите на криптовалути крадат изчислителните ресурси на фирмата. Това може да се отрази върху състоянието на мрежата и доведе до амортизация на хардуера, което пък води до по-кратък полезен живот и по-високи разходи за електричество. Копачите на криптовалути са по-незабележима заплаха в сравнение с други форми на малуер. Ако останат под радара, това може да създаде фалшиво усещане за сигурност“, коментират от TrendMicro.

Много вектори на атака

Cryptojacking атаките могат да се случат по много и различни канали. Ето само няколко примера:

Сайтове, в които има скрипт за копаене на криптовалути;

Реклами, в които има вграден cryptojacking скрипт;

Cryptojacking скрипт, който се представя за нов аверсия на Flash Player;

Kомпютър, който използва незащитен отдалечен достъп чрез Remote Desktop Protocol;

Фишинг;

Как да намалите риска от cryptojacking атака

Обучения на служителите

Обучаването на служителите е превантивна мярка както срещу cryptojacking атаки, така и срещу други киберзаплахи. Когато те са инструктурани да не отварят имейли от съмнителен източник или потенциално опасни сайтове, това намалява риска за цялата фирма.

Защита на работните станции

Използвайте софтуер за защита и анализ на работните станции, за да следите активността им и да изолирате онези, в които установите проблем.

Софтуер за блокиране на реклами

Cryptojacking скриптовете могат да стигнат до компютъра през онлайн рекламите (включително и в сайтове като Youtube). Блокирането на онлайн рекламите с Ad blocker намалява риска от заразяване по този канал;

Защита на сървъри

Ако сървърите ви са уязвими, на тях може да се инсталира зловреден софтуер, който копае криптовалути и го натоварва. Използвайте софтуерни решения за защита на сървъри, както и базови правила за защита като силни пароли и многофакторна автентикация.

Политики на достъп

Задайте правила за достъп на служителите до информационни ресурси. Ограничавайки достъпа им до съмнителни сайтове, вие намалявате възможността за cryptojacking атака.

Хакерите могат да са особено изобретателни, когато стане дума за прикриване на следите. Компанията за информационна сигурност TrendMicro е открила малуер, който използва ресурсите на заразената машина, за да копае криптовалути. Необичайното е, че малуерът действа в комбинация с руткит, който скрива дейността на копача.

Така за системния администратор не остава нищо друго освен да гледа в недоумение, докато системата работи на 100%, но той не може да установи кои процеси я натоварват.

„Открихме софтуер за копаене на криптовалути, който нарекохме Coinminer.Linux.KORKERDS.AB, засягащ системи с Linux. Специфичното при него е, че се инсталира със собствен руткит, който скрива зловредните процеси. Това го прави труден за засичане, тъй като инфектираната система показва единствено признаци на забавяне“, коментират от TrendMicro.

С помощта на шел скриптове копачът се качва на системата, където се записва като /tmp/kworkerds. Отделно от това на системата се инсталира и руткит, който скрива дейността на малуера. Ако системният администратор реши да анализира работещите процеси преди инсталирането на руткита, той ще види, че /tmp/kworkerds натоварва процесора на 100%.

След инсталирането на руткита обаче процесът става невидим, въпреки че системата продължава да показва 100% натовареност на процесора.

Как да се предпазите

Засега не е ясно как малуерът попада в заразената машина. Предположението на анализаторите е, че това става с инсталирането на  компрометиран софтуер или плъгин. На базата на това предположение те дават следните препоръки:

• Избягвайте да използвате непознати библиотеки или хранилища за софтуер;
• Използвайте антивирусен софтуер;
• Налагайте политики за достъп и мониторинг на системата;
• Редовно обновявайте операционната система;
• Използвайте системи за откриване и предотвратяване на атаки (Intrusion Detection System, Intrusion Prevention System);

Копачите на криптовалути са популярен инструмент за правене на пари, особено след като в края на 2017 г. стойността на биткойн и другите криптовалути достигнаха рекордни нива. Въпреки че не вредят пряко – няма криптирани файлове и инфектираната машина продължава да си работи – те все пак нанасят щети.

Този вид малуер може бързо да амортизира информационните ресурси на една фирма и да надуе сметката за електричество. Затова той не бива да бъде подценяван.

 

Анализатори на Palo Alto Networks са открили нова кампания с копач на криптовалути, която се инсталира на компютъра заедно с легитимен ъпдейт на популярния Flash Player. По този начин се намалява вероятността потребителят да забележи, че това, което е инсталирал, всъщност е софтуер за копаене на криптовалути.

Атаката се изпълнява със зловреден сайт, който показва фалшиво съобщение за обновяване на Flash Player. Ако потребителят избере да направи обновяването, той всъщност инсталира на компютъра си криптокопача XMRig – популярен софтуер за копаене на криптовалутата Monero.

Заразяването с малуер под формата на фалшив ъпдейт на Flash Player е често срещана тактика. Конкретната атака обаче използва и един допълнителен трик. След като XMRig се инсталира, малуерът действитлено прави и обновяване на Flash Player. Това е начин да се заблуди потребителят, че е инсталирал Flash Player, а не нещо друго.

Скрит на заден план

„Това е напълно легитимен ъпдейт и по този начин жертвата може да не забележи нищо необичайно. Междувременно XMRig или друг нежелан софтуер започва да работи на компютъра“, коментира Брад Дънкан от Palo Alto Networks. Първите опити да се инсталира XMRig заедно с ъпдейт на Flash Player са засечени от компанията през юни 2018 г., а последният пик е забелязан през септември.

„Тази кампания използва легитимна дейност, за да скрие дистрибуцията на криптокопачи и други нежелани програми. Организации с добри уебфилтри и обучени служители са далеч по-малко застрашени от заразяване“, се посочва в анализа.

Скритите криптокопачи (или т.нар. cryptojacking атаки) станаха изключитлено популярни в края на 2017 г. Тогава цените на криптовалутите се изстреляха нагоре и това направи копаенето им доходоносно.

Опасни и често срещани

За разлика от другите киберзаплахи, криптокопачите не криптират файловете ви и не ви пречат да използвате компютъра си. Те обаче изтощават ресурсите на устройството и набъбват сметката за електричество. За организации с много компютри това може да означава значими загуби, например:

• намалена производителност на хардуера;
• износване на хардуера, което е свързано с разходи за амортизация;
• по-големи сметки за електроенергия;
• срив на системите във фирмата;

През второто тримесечие на 2018 г. случаите на скрити криптокопачи са скочили с 86% (или с около 2.5 млн. засечени случая) спрямо първото тримесечие на годината, показват данните на McAfee. „Престъпниците продължават да следват парите. Анализът ни показва, че те мигрират от стари атаки към нови вектори на заплаха, които са по-доходоносни. Както и през първото тримесечие на годината популярността на криптокопачите продължава да расте“, коментират от McAfee.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребителите

Следете за системно предупреждение, че източникът на ъпдейта е неизвестен. Акатата е възможна единствено ако пренебрегнете това предупреждение;

Използвайте антивирусен софтуер. Повечето антивирусни програми имат защита срещу cryptojacking атаки; [/box]

Хранилището за Kodi добавки XvMBC е било експлоатирано за кампания копаене на криптовалути, показват резултатите от проучване на компанията за киберсигурност ESET.

Какво е Kodi?

Kodi е плейър за стрийминг на видео, чиято популярност расте, включително и в България.По последни данни от края на 2017 г. то има над 40 млн. активни потребителя, от които 19 млн. са активни всеки месец.

Kodi предоставя на потребителите си платформа за гледане на стрийминг съдържание. Само по себе си, обаче, приложението не позволява гледането на сериали, мачове и др. – за целта потребителите трябва да изтеглят добавки като Bubbles и Gaia, които предоставят съдържанието до устройствата им.

Как работи експлойта

Платформата е използвана за разпространяване на заразени добави за плейъра – Bubbles и Gaia – популярни сред феновете на филми и сериали. Българските потребители не са пострадали в значима степен, но за сметка на това съседна Гърция се нарежда в топ 5 на засегнатите от кампанията страни.

Освен официалното хранилище за добавки към Kodi съществуват и много неофициални такива (така, както освен официалния магазин Google Play съществуват много неофициални хранилища за приложения за Android).

В неофициалните хранилища често могат да се намерят добавки, които предоставят пиратско съдържание – например безплатен достъп до платени телевизионни канали. Подобен е и случаят с XvBMC.

Именно затова холандската асоциация за борба с пиратското съдържание BREIN (Bescherming Rechten Entertainment Industrie Nederland) заведе дело срещу собственика на хранилището и го осъди, принуждавайки го да свали хранилището от интернет.

“Според нашето проучване зловредният код в хранилището XvMBC се е появил най-напред в добавките Bubbles и Gaia – съответно през декември 2017 и януари 2018 г. Оттам той достига до нищо неподозиращите потребители чрез обновяване на добавки или билдове (пакет от много добавки) и се разпространява в екосистемата на Kodi”, посочват от ESET. От компанията допълват, че това е първият пулично известен случай на копач на криптовалути, който се разпространява чрез добавки за Kodi. Той засяга както устройства с Windows, така и такива с Linux.

[box type=“success“ align=“alignleft“ class=““ width=““]

Как да проверите дали устройството ви е засегнато от кампанията

Първоизточниците на кампанията вече са свалени, но това не означава, че сте в безопасност. Възможно е те да са били част от билд, който сте свалили. Копия на самите добавки все още могат да се намерят в интернет според ESET.

Ако използвате Kodi, най-подходящото решение да проверите дали копачът на криптовалути ви е засегнал, е да сканирате устройството си с антивирусен софтуер.

[/box]