Monero

Нов злонамерен софтуер за копаене на криптовалутата Monero (cryptojacking), разпространяван чрез кракнати версии на популярни онлайн игри, деактивира антивирусната ви програма и тайно добива криптовалута.

Малуерът, наречен „Crackonosh“ (планински дух в чешкия фолклор), дебне в пиратски версии на Grand Theft Auto V, NBA 2K19 и Pro Evolution Soccer 2018, които могат да бъдат изтеглени безплатно във форуми.

Засегнати са повече от 222 хил. уникални устройства, като през май 2021 г. зловредният софтуер регистрира около хиляда посещения на ден, Досега участниците в заплахата са събрали повече от 2 млн. USD под формата на криптовалута.

Винаги имайте едно на ум, че докато се възползвате безплатно от даден софтуер е твърде вероятно някой да се възползва от вас.

Повече за това как Crackonosh деактивира антивирусните програми може да прочетете тук.

Делът на засечените cryptojacking атаки е намалял двойно през последното тримесечие на 2018 г., показват данните от анализ на компанията за информационна сигурност Webroot. Вероятно това се дължи на общия спад в стойността на криптовалутите и в частност на монеро, която обикновено се генерира в cryptojacking кампании.

През септември 2018 г. делът на зловредните URL адреси, водещи към копачи за криптовалути, е бил над 10%. Само три месеца по-късно този дял вече намалява към 5%. „Светът на криптовалутите преживя бурен период. Възможно е намаляващите cryptojacking атаки да се дължат на сриващите се цени на криптовалутите. Възможно е да се дължи и на факта, че потребителите започват да вземат превантивни мерки“, коментират от Webroot.

Срив на криптовалутите

Цената на монеро надхвърли 450 долара през януари 2018 г. и след това започна да пада, понижавайки се до едва 46 долара към края на декември 2018 г. Срина се и общата пазарна капитализация на криптовалутите.

Монеро е основната валута, която се генерира от cryptojacking атаки. Падащата й цена означава, че е много по-неизгодно да се осъществяват такива атаки, тъй като те носят все по-малко доходност.

Идва ли краят на cryptojacking атаките?

Според Келвин Мъри е малко вероятно това да се случи скоро. „Криптовалутите и зловредното копаене на валути няма да изчезнат. Дори и след отчетения спад 2018 може да се определи като година, през която криптопрестъпленията нараснаха… Всяко незаконно копаене на криптовалути може да доведе до високи сметки за ток и главоболия за потребителите“, казва Мъри.

Койнмайнърите са окупирали челната тройка в Global Threat Index – класация на най-често засичаните форми на малуер, която се публикува от Check Point.

За 13-и пореден месец лидер в класацията е Coinhive. Това е най-популярният код за копаене на криптовалути в света. Coinhive засяга около 12% от организациите по света според Check Point. Следват го койнмайнърите XMRig (8% от институциите) и JSEcoin (7%).

„Организациите продължават да са цел на койнмайнърите. Това се случва, въпреки че цените на криптовалутите паднаха през 2018 г.“, коментират от компанията.

Атаките с койнмайнъри, или cryptojacking атаки, са донесли на своите организатори над 143 млн. долара според прогноза на Palo Alto Networks. Само в региона на Близкия изток, Турция и Африка са засечени 13 млн. опита за атаки с койнмайнъри през 2018 г. според статистиката на Kaspersky. Това е четирикратно увеличение спрямо предходната година.

Пораженията от повечето форми на малуер се виждат веднага. Вредата от койнмайнърите обаче остава скрита за бизнеса и индивидуалните потребители. Което не означава, че не съществува. Кодовете за копане на криптовалути могат да амортизират информационните системи във фирмата. Те могат да увеличат разходите за тяхната поддръжка, да раздуят сметките за ток.

Затова койнмайнърите се считат за по-безопасни и доходоносни форми на малуер от компютърните престъпници. Това обяснява и огромната им популярност през 2018 г.

Ако искате да се предпазите от този нов и популярен тип заплаха, прочетете нашия съветник „Пет начина да намалите рисковете от cryptojacking атаки“.

 

Последен ъпдейт на 28 юни 2018 в 01:12 ч.

Няма спор, че 2017 г. беше годината на криптовирусите (или ransomware). Няма спор, и че от началото на 2018 г. те някак изчезнаха от заглавията на медиите – след гръмкото отразяване на имена като WannaCry, NotPetya и Bad Rabbit.

От началото на годината обаче са засечени с 35% по-малко опити за зараза при крайните потребители и 28% ръст при бизнес потребителите. Да, това е знак, че интересът към този тип зловредни атаки не е намалял – дори обратното. GandCrab, Scarabey и Hermes са сред новите имена на пазара, които засенчиха предишните величия като Locky и Cerber.

От началото на годината няма и твърдо много шум или разкрити гигантски пробиви, огромни масиви източени данни или разкрити атаки – но кибер-престъпността е далеч от изчезнала.

Пример за това твърдение е появата на изцяло нов тип атаки – coinminer. Тези атаки не насочени срещу потребителите – поне не директно. На практика, те експлоатират легална функция на CoinHive, която позволява „копаeнето“ за криптовалутата Monero директно през браузъра на потребителя. Как? Като кодове, изпълняващи тази функция, се инжектират в множество сайтове (обикновено) без знанието на собствениците на самите сайтове.

Така, всеки посетител на даден сайт започва да „копае“ Monero докато е на сайта. Което е довело до 27% на тези атаки за първото тримесечие на годината при десктопи и лаптопи – и им отрежда второ място сред най-разпространените сред бизнес потребителите.  При мобилните атаки ръстът е 40 пъти – или 4000% само за година.

Разбира се, твърде рано е да се каже дали това е „новата тенденция“ в областта на кибер-сигурността, но е хубаво да проверявате редовно сайтовете и уеб приложенията, с които работи бизнеса ви за наличието на подобни снипети код. Спомнете си само каква беше реакцията на хората като разбраха, че сайт като The Pirate Bay планира да замени рекламата с coinminer-и. А сега си представете, че разберат, че сайтът на организацията ви има подобен код и 1) експлоатирате системните ресурси на потребителите си без знанието им и 2) всъщност – какви може да са щетите по репутацията ви, ако се разбере, че на сайта ви могат да бъдат добавяни кодове „просто така“?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:28 ч.

През последните години ставаме свидетели на невиждан до момента бум на криптовалутите. След като най-силно установената от тях – Bitcoin – увеличи стойността си с около двадесет пъти в рамките на годината (стигайки до почти $20 000), светът заключи, че е време да обърне внимание на „виртуалните пари“. Видяхме залеза на различни криптовалути, разделянето им на различни разновидности, купища измами и дори едно отвличане. Това показва, че е време да се замислим как общественото внимание ще се отрази на кибер-сигурността.

Двете страни на монетата

Без съмнение, новото поколение валути имат огромно положително въздействие. Създаването им и търговията с тях позволява на различни инициативи да се развиват и помага на хора без достъп до дадени пазари. Дотолкова, че през април, 2017 г., Bitcoin беше приет като законно платежно средство в Япония. От друга страна, редица правителства работят по строгата регулация или абсолютната забрана на тази и други криптовалути. Можете ли да се досетите защо?

Факт е, че основните предимства на този тип разплащателни средства (анонимност, децентрализация, липса на регулация и моментални трансфери) могат да се използват и със злонамерени цели. Според IOCTA (Internet Organized Crime Threat Assessment) на Европол, това ги прави основното разплащателно средство при организацията на кибер престъпления. Но когато говорим за сигурност можете да се досетите, че всичко опира до една крайна точка – потребителя.

Криптовалутите може да не са по-сигурна алтернатива

Услугите за търгуване с виртуални валути и заменянето им за „аналогови“ са достъпни за всички. Това позволява на хора с не толкова добри познания за добрите практики в сигурността да търгуват неограничено. Огромната възможност за монетизация е изключително атрактивна за всеки с някакви познания за това как да пробие потребителската защита и намерението да ги използва. По данни на Ройтерс, над милион биткойна са били откраднати от 2011-та насам. Миналата година не беше лишена от инциденти, някои от които приеха притеснителни мащаби:

• Още в началото на годината, хакери проникнаха в личния компютър на работник от една от големите южнокорейски борси. Личните данни на над 30 000 клиенти бяха откраднати и използвани за измами, чиито щети се изчисляват на 1 млн. USD.
• Компанията зад валутата Tether докладва за кражби на стойност над 31 млн. USD от личните си залежи.
• Дори и без престъпни намерения, обикновен потребител успя да „замрази перманентно“ ether на стойност 280 млн. USD след като некачествен код му позволява да изтрие една от библиотеките, осигуряваща достъп на потребителите.
• Словенската борса NiceHash докладва за „професионална атака“ от опитни престъпници, които са използвали социално инженерство, за да добият данните за достъп на служител. Борсата е пострадала с биткойни на стойност 64 млн. USD.

Какво ни казват тези данни?

Както всяка „дигитална революция“, тази също напредва прекалено бързо, за да може сигурността да я настигне. След като повече и повече хора стават част от кипящите пазари за криптовалути, опасностите, които ги дебнат се увеличават с притеснителни темпове. Липсата на регулация от външни организации също има своите рискове, заради които различни правителства (като това на Еквадор) планират да създадат собствени валути, забранявайки всички останали. Междувременно, освен ако изобилието от слаби точки в сигурността не бъде адресирано, то инцидентите от миналата година са само началото.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 01:34 ч.

Докато целият свят очаква с нетърпение какви нови висоти ще покори обменният курс на криптовалутата биткойн (bitcoin) и какви ще бъдат наследниците на вируси като WannaCryptor или Petya, идват нови и много по-потайни методи за генериране на приходи за кибер-престъпността.

Една подобна дейност се случва поне от май 2017 г. – оттогава насам хакери атакуват Windows сървъри, чийто ъпдейти не са инсталирани навреме (или иначе казано – не са патчнати) и инсталират т.нар. криптомайнъри. Това са кодове, които използват изчислителната мощ на компютрите на посетителите на уебсайтове, без те да подозират за това. А тази мощност се използва за „копаене“ на криптовалутата Monero (XMR), алтернатива на Биткойн.

За да постигнат този ефект, атакуващите са модифицирали open source софтуер за майнване на Monero и използват добре позната уязвимост на Microsoft IIS 6.0, за да инсталират кодовете си на непатчнати сървъри. В рамките на последните 3 месеца създателите на софтуера са заразили стотици уебсайтове, част от които и български, и са генерирали за себе си над 63,000 от криптовалутата Monero.

Клиентите на ESET са защитени от опити за експлоатиране на уязвимостта CVE-2017-7269, дори и, ако сървърите им не са патчнати.

Защо Monero, а не Bitcoin?

Макар и с доста по-ниска пазарна стойност от Bitcoin, Monero има няколко допълнителни функционалности, които го превръщат в много привлекателна криптовалута, обвързана със зловредни кодове. Например, алгоритъм за доказване на ефективност CryptoNight, който предпочита компютърни или сървърни процесори (CPU) и видео карти (GPU), за разлика от специализирания хардуер, необходим за работа с биткойни.

Не, че стойността на Monero не расте – само за последния месец тя е скочила от 40 USD/XMR до 150 USD/XMR – след което е загубила част от позициите си до около 100 USD/XMR към момента.

Криптомайнърът

Засечен за първи път на 26 май 2017 г., кодът, използван от хакерите, е модифицирана версия на иначе легитимния софтуер за майнване на Monero xmrig, версия 0.8.2 (публикувана на същия ден – 26 май 2017 г.).

При създаването на зловредния си код, кибер-престъпниците не са промени структурата на оригиналната база данни – ако изключим факта, че са хардкоднали адреса на портфейла си и URL на майнинг пула, както и няколко допълнителни аргумента, за да спрат всички възможни паралелно работещи инсталации на софтуера. По този начин те си гарантират, че на заразения компютър ще работи само и единствено най-новата инсталация на майнъра – тази, създадена от хакерите. Иначе казано – модификациите надали са отнели повече от няколко минути, което обяснява как зловредният код се появява буквално в същия ден с публикуването на легитимната версия на xmrig.

Разпространение

Разпространението на майнъра към компютрите на жертвите е най-трудната част от операцията. Дори и за нея, създателите са прибегнали до най-лесния подход. Засечени са 2 IP адреса, през които се осъществяват brute-force атаки срещу уязвимостта CVE-2017-7269.

Тя е открита през март 2017 г. и позволява на атакуващите да инжектират кода, с който да инициират експлоатирането на компютрите на посетителите незасегнати сайтове.

Решенията на ESET засичат майнъра с името Win32/CoinMiner.AMW trojan, а опитите за проникване в сървър като webDAV/ExplodingCan.

Малко статистика

Благодарение на факта, че статистиката за дейността на майнърите на Monero е публично достъпна, ESET успяват да засекат и комбинират всички хашове на жертвите, което представлява общата изчислителна мощ, използвана за „копаене“ към съответния акаунт. Стойностите се движат около 100 килохаша на секунда (kH/s), с пикове от 160 kH/s в края на август.

Като цяло, сборът от всички заразени машини е XMR5.5 на ден до края на август и над XMR420 от старта на атаката. При обменен курс от 150 USD/XMR, това означава 825 долара на ден или над 63,000 долара общ приход за създателите на зловредния код.

Атакуващите са били много активни в края на август, но от началото на октомври не са засечени масови атаки – въпреки че вирусът се появи в България именно през октомври –засякохме няколко сайта, които бяха заразени с кода – но той е отстранен от тях своевременно.

Освен това, тъй като майнърът няма механизъм за саморазпространение, хакерите непрекъснато губят вече компрометирани машини и скоростта на генериране е спаднала на 60 kH/s към момента на писането на този текст.

Това, обаче, не е първата “почивка“ на авторите на кода – и не е изключено да станем свидетели на нова подобна кампания в бъдеще. Поддържайте сървърите си винаги във форма – ъпдейтвате операционните им системи и ги защитавайте с лицензиран антивирусен софтуер като първо ниво на защитата си. Или се възползвайте от услугите на SOC (Security Operation Center), който да следи дейността им постоянно.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.