Cryptojacking — что это такое, как этого избежать и как от него избавиться?

0
229

Киберпреступники используют вымогателей для заражения веб-сайтов и компьютеров, чтобы использовать их для майнинга криптовалют Как этого можно избежать?


Содержание
Cryptojacking — что это? Cryptojacking — почему это популярно? Cryptojacking — как выглядит атака? Известные примеры криптоджекса Криптоджекинг — как этого избежать? Криптоджак — как обнаружить?

Cryptojacking — что это?

Cryptojacking — это несанкционированный доступ к чьему-либо компьютеру, предназначенный для использования его аппаратных ресурсов для майнинга криптовалюты. Хакеры выполняют этот тип атаки, заставляя жертву нажимать на вредоносную ссылку — она ​​может быть в электронном письме или на зараженном веб-сайте, а также в рекламе с использованием JavaScript, которая позволяет автоматически выполнять код в браузере жертвы. После нажатия код криптомининга загружается на компьютер. Независимо от способа заражения код «кикера» ( cryptominer ) начинает работать в фоновом режиме, и ничего не подозревающий пользователь обычно использует компьютер. Тем не менее, он может заметить, что его работа явно замедляется во всех аспектах — от просмотра веб-страниц до запуска приложения. Обычно в такой ситуации система очищается одной из программ ( CCleaner , Glary Utilities и т. Д.), Но даже после этого ничего не меняется.

Cryptojacking — почему это популярно?

Точно неизвестно, какое количество криптовалюты — и что — было выкопано с помощью этих атак, но нет никаких сомнений в том, что последние два года являются просто вторжением вредителей типа криптоминеров . Число злоумышленников в браузерах значительно возросло, но их количество снижалось в течение нескольких месяцев, что связано с уменьшением уровня криптовалюты. Оглядываясь назад, в ноябре 2017 года Adguard сообщил об увеличении количества атакующих браузер на 31% — было найдено 33 000 страниц, содержащих скрипты для запуска криптоминеров. Ежемесячное количество посещений этих сайтов оценивалось в один миллиард. В феврале 2018 года 34 474 сайта были заражены Coinhive с использованием JavaScript- майнера , а в июне того же года Check Point Software Technologies представила отчет, который показал, что среди 10 самых распространенных вирусов в мире четыре являются криптоминерами , включая Coinhive. и Cryptoloot .

В то время как в 2017 году на долю крипто-взлома приходилось 23% всех типов атак, в следующем году их число сократилось до 7%. Причина проста — киберпреступники пришли к выводу, что атака вымогателей более выгодна для них. Однако это не означает, что они полностью простили их — эти вредители будут продолжать развиваться, потому что они еще не использовали все возможности, которые у них есть. В настоящее время прибыль от Coinhive составляет около 300 тысяч. долларов в месяц. А в январе 2018 года был обнаружен ботнет Smominru, специализирующийся на криптомайнинге. В него вошло более полумиллиона зараженных машин, в основном в России, Индии и на Тайване. Ботнет ударил по серверам Windows, чтобы добыть криптовалюту Monero. По оценкам охранной компании Proofpoint , она смогла генерировать криптовалюты на сумму более 3,6 миллиона долларов в месяц.

На популярность крипто-взлома влияет тот факт, что он не требует передовых технических знаний. Нет, практически никто не нужен — в темной паутине были доступны наборы для криптографии за … 30 долларов. Поэтому за небольшие деньги вы можете получить большую прибыль. В настоящее время хакеры рассматривают криптовалюту как альтернативу вымогателям . В случае вымогателей вы можете заблокировать сто компьютеров и потребовать выкуп за их разблокировку. Эта сотня компьютеров работает на криптовалюте, зарабатывая деньги для преступников. Кроме того, риск обнаружения злоумышленника в криптоджек- атаке намного ниже, чем при использовании вымогателей. Не без значимости тот факт, что саму атаку гораздо сложнее обнаружить — все происходит в фоновом режиме, и если замедление системы невелико, может пройти несколько недель, прежде чем обнаружится инфекция. И когда это происходит, трудно найти источник. Cryptomining в основном используется для майнинга криптовалют Monero и Zcash , которые являются анонимными, в отличие от Биткойна , владельца которого легче идентифицировать.

Cryptojacking - что это такое, как этого избежать и как от него избавиться?

Cryptojacking — как выглядит атака?

У хакеров есть два основных способа атаковать молочный компьютер. Во-первых, загрузить код криптоминера на ваш компьютер. Это может быть сделано вышеупомянутым методом фишинга, то есть ссылкой на страницу или в электронное письмо. При нажатии на него загружается скрипт cryptominer на компьютер, который запускает его беззвучную работу. Второй способ — внедрить вредоносный скрипт в код страницы. Когда пользователь заходит на такой сайт, появляется зараженное объявление, и скрипт запускается автоматически. Интересно, что код не хранится на зараженной машине — когда он подключен к Интернету, он подключается к серверу, контролируемому хакером, который использует свои вычислительные мощности для майнинга криптовалюты. Хакеры часто используют оба метода, чтобы увеличить шансы на успешную атаку и максимизировать прибыль. И чем больше зараженных сайтов, тем больше шансов на прибыль.

В отличие от классических вредоносных программ , скрипты, выполняющие пинок, не наносят ущерба компьютеру жертвы, они не крадут и не уничтожают данные. Вместо этого они крадут производительность процессора, что снижает производительность компьютера. В случае нескольких криптоминеров в системе замедление может быть настолько сильным, что практически невозможно использовать устройство.

Известные примеры шифрования

Вредители этого типа удивляют экспертов своими действиями — они могут сочетаться с другими угрозами и проявлять признаки, типичные, например, для вирусов. Вот несколько примеров таких криптоминеров:

  • PowerGhost — был обнаружен Fortinet как кража данных вредоносным ПО. Однако, как оказалось, он также использовал эксплойт EternalBlue для отключения антивирусного программного обеспечения на зараженной машине и загрузки кода кикера.
  • MinerGate — под этим именем скрывается все семейство вредоносных программ, и его варианты не только загружают вредоносный код, но и способны отслеживать движения мыши
  • BadShell — вредитель, использующий процессы Windows для майнинга криптовалюты. Он использует скрипт PowerShell для внедрения вредоносного кода в запущенные процессы
  • На конференции EmTech Digital один из ИТ- специалистов, работающих в крупном европейском банке, представил интересную историю атаки учреждения. Однажды было замечено, что ночью все банковские системы замедляются, но когда проводилась диагностика внутренней сети, все казалось нормально. Однако более внимательный взгляд на результаты показал, что внезапно в банке стали появляться новые серверы. Посещение дата-центра показало, что зараженные копателями серверы были подключены к серверам банка, что позволило им использовать аппаратные ресурсы.
  • В марте этого года Avast Software предупредил, что криптоминеры появились на популярном сайте GitHub . Это были вилки обычных проектов, спрятанные в структурах каталога. После установки программного обеспечения они предложили пользователям загрузить вредоносный код, маскируемый, например, как обновление FlashPlayer .
  • Facexworm : вредоносное расширение для Chrome , обнаруженное Лабораторией Касперского в 2017 году. Он использовал Messenger для заражения компьютера пользователя и установленного рекламного ПО. Ранее в этом году Trend Micro нашла вариант вредоносного ПО, предоставляющего код копателя.
  • WinstarNssmMiner : криптоминер, обнаруженный в мае 360 Total Security . Это неприятный сюрприз для тех, кто хочет его удалить: в такой ситуации он приостанавливает работу компьютера. Вредоносная программа запускается вместе с системным процессом svchost.exe и внедряет код в свои атрибуты.
  • CoinMiner — один из самых трудных для обнаружения шахтеров . Вредоносная программа определяет, выполняет ли система процесс AMDDriver64, к которому она подключена .
  • Взятые через маршрутизаторы MikroTik — в сентябре 2018 года было обнаружено более 80 кампаний по криптографии, нацеленных на маршрутизаторы MikroTik . Тысячи устройств были заражены. Cryptominers использовали уязвимость CVE-2018-14847 , которую производитель не исправил вовремя.

Cryptojacking - что это такое, как этого избежать и как от него избавиться?

Cryptojacking — как этого избежать?

Чтобы избежать риска использования в качестве чьей-либо вычислительной мощности, помните следующее:

  • В вашей компании вы должны включить эту угрозу в вашу программу безопасности и особенно предупредить сотрудников о том, что этот тип атаки может происходить с помощью фишинга; профилактика лучше, чем искать вредителя позже
  • Установите дополнения и расширения против криптоминеров и блокировщиков рекламы в вашем браузере. Скрипты Digger часто предоставляются веб-рекламой, поэтому их блокировка определенно увеличивает вероятность избежать угроз. Некоторые расширения, такие как Ad Blocker Plus , имеют функцию обнаружения скриптов cryptominer. Другими рекомендуемыми расширениями являются No Coin и MinerBlock , созданные специально для этой цели.
  • Используйте программное обеспечение безопасности, которое обнаруживает криптоминирование. Многие производители антивирусов добавили обнаружение этих вредителей в свои продукты, но помните, что разработчики вредителей постоянно придумывают новые методы предотвращения безопасности, поэтому трудно сказать, защитит ли ваша система какой-либо антивирус на 100%.
  • Постоянно отвечайте за безопасность плагинов и расширений вашего браузера — устаревшие не являются хорошей защитой
  • Если ваша компания использует устройства сотрудников ( BYOD ), вам следует использовать управление мобильными устройствами (MDM) и соответствующие политики безопасности.

К сожалению, ни одна из вышеперечисленных практик не на 100% эффективна, но это единственное, что вы можете сделать.

Криптоджак — как обнаружить?

Как и вымогатели , криптоджек может также парализовать машину, но по-другому. Обнаружение может быть затруднено, особенно если это касается всей корпоративной системы. Если вредоносная программа попадает в систему, первым и основным симптомом является замедление работы компьютера. Другие симптомы включают перегрев компонентов, что может привести к повреждению процессора и вентиляторов — они должны напрягать все силы. Даже если вредные организмы быстро обнаруживаются и удаляются, это существенно влияет на срок службы компонентов, особенно в смартфонах и планшетах. В корпоративных сетях проще обнаружить криптовалюту, чем дома. Прежде всего — большинство потребительских антивирусов не могут его обнаружить. Во-вторых, отслеживаются сети компании, и с помощью инструментов мониторинга легко обнаружить увеличенный трафик. Существуют также специализированные бизнес-решения — например, SecBi изобрела алгоритмы SI, которые используются только для обнаружения криптоджекинга через сетевой трафик. Cryptominery также обнаруживает множество сканеров вредоносных программ, таких как Malwarebytes Anti-Malware . Интересно — они могут найти этих вредителей, даже если они не видят своего антивирусного программного обеспечения!

А что делать после обнаружения криптоминера ? Если ваше антивирусное программное обеспечение не удаляет их, вы должны сначала остановить все запущенные сетевые сценарии и процессы, которые вы найдете в диспетчере задач, которые используют много ресурсов ЦП. Если вы не уверены, для чего предназначен этот процесс, проверьте его в сети. Кроме того, удалите все расширения браузера и переустановите их прямо с сайта производителя. Это даст вам уверенность, что вы не используете расширения или дополнения, отравленные вредоносным кодом.