Rosnące podwójne zagrożenie: cryptojacking w połączeniu z oprogramowaniem ransomware

Podczas gdy rok 2016 i początek roku 2017 upłynęły pod znakiem niszczycielskich ataków oprogramowaniem ransomware, koniec roku 2017 przyprawił użytkowników indywidualnych i biznesy o inny ból głowy – nielegalne wydobywanie kryptowalut.

AcronisTrue Image 2020

Tak jak oprogramowanie ransomware, wydobywanie kryptowalut nie jest zjawiskiem nowym. Już przynajmniej od roku 2011 możliwe jest używanie zasobów komputera do tworzenia bitcoinów bez pomocy sprzętu specjalistycznego lub sprzętu o dużej mocy. Cyberprzestępcy rozpoczęli przekształcać złośliwe oprogramowanie do spełniania tej funkcji na początku okresu wzrostu popularności kryptowalut w drugiej połowie roku 2017.

W tym czasie pojawiły się tysiące różnych cyfrowych kryptowalut opartych na technologii łańcucha bloków, wiele z nich znacznie zwiększyło wolumen i kapitalizację, niektóre z nich można wydobywać używając zwykłego sprzętu komputerowego. Wydobbywanie jest jedną z podstaw każdej kryptowaluty: dostarcza ono mocy obliczeniowej niezbędnej do weryfikacji poprzednich transakcji w danej kryptowalucie - jest to proces zapewniający integralność walut cyfrowych. Osoby wydobywające kryptowaluty używają swojego sprzętu komputerowego do rozwiązywania skomplikowanych problemów matematycznych: pierwsza osoba, która rozwiąże problem, otrzymuje wynagrodzenie w tej samej kryptowalucie.

Może to być dochodowe przedsięwzięcie, jeśli to ty zarabiasz na pokrycie kosztów (w postaci mocy obliczeniowej i energii elektrycznej) poniesionych za weryfikację transakcji kryptowalutowej. Cyberprzestępcy zorientowali się, że jeśli zainfekują twój komputer złośliwym oprogramowaniem do wydobywania kryptowalut, będą mogli wykorzystać go do pracy, z której to oni będą czerpać zyski. Pomnóż to przez 1 000 lub milion zainfekowanych komputerów, a łatwo zrozumiesz, dlaczego oszuści podążyli za modą na wydobywanie kryptowalut: przynosi to duże zyski, a ofiary często nie mają pojęcia, że ktoś sięga do ich portfela.

Co sprytniejsi cyberprzestępcy wpadli na pomysł, że potencjalnie mogą zwiększyć swoje zyski przez połączenie wielu typów złośliwego oprogramowania. Jeśli nieświadomy niczego użytkownik kliknąłby w link lub otworzył załącznik do złośliwego e-maila, zostałby zainfekowany podwójnie: złośliwym oprogramowaniem do wydobywania kryptowalut i ransomware. Przestępca nie aktywowałby obu typów oprogramowania naraz - komputer, którego pliki zaszyfrowane są przez oprogramowanie ransomware, nie może działać jako silnik do wydobywania kryptowalut - ale w zależności od konfiguracji oprogramowania i sprzętu oraz rodzaju ochrony przeciwwirusowej wybrałby ten, który umożliwi bardziej lukratywny atak. Złośliwe oprogramowanie do wydobywania kryptowalut nagle stało się bardzo popularne wśród cyberprzestępców.

Eksplozja cyberjackingu w 2018 r.

Sprzedawca oprogramowania przeciwwirusowego McAfee wykrył około 400 000 instalacji złośliwego oprogramowania do wydobywania kryptowalut w czwartym kwartale 2017 roku, w pierwszym kwartale 2018 roku liczba ta wzrosła o szokujące 629 procent i wyniosła 2,9 miliona instalacji. W drugim kwartale odnotowano 86-procentowy wzrost w liczbie 2,5 miliona instalacji. Sprzedawca oprogramowania przeciwwirusowego TrendMicro opublikował bardzo podobny raport dotyczący tego samego okresu: odnotował 956-procentowy wzrost liczby takich ataków od początku 2017 r.

mining malware chart

Co gorsza, złośliwe oprogramowanie do wydobywania kryptowalut zostało opracowane nie tylko w formie aplikacji po cichu działających na sprzęcie ofiar z systemem operacyjnym Windows lub Linux, ale także w formie serwisów wydobywających kryptowaluty. Tego rodzaju firmy przestępcze ukradkiem instalują małe kawałki kodu JavaScript na stronach internetowych. Kod ten z kolei zużywa część lub całość mocy obliczeniowej przeglądarki, która odwiedza taką stronę, pozyskując komputer odwiedzający stronę do wydobywania kryptowalut bez wiedzy i bez żadnych korzyści dla osoby, której zasoby są zużywane.

To podejście szybko zyskało na popularności. W listopadzie 2017 AdGuard, twórca popularnej wtyczki do przeglądarek internetowych blokującej wyświetlanie reklam, zgłosił 31-procentowy wzrost przypadków cryptojackingu w przeglądarkach. Jego badania wykazały, że ponad 30 000 stron internetowych uruchamiało skrypty do wydobywania kryptowalut takie jak Coinhive, co według róznych raportów miało wpływ na jedną na każdych pięć organizacji na całym świecie. W lutym Raport Bad Packets wykazał, że 34,474 witryny uruchamiały skrypty Coinhive - najbardziej popularny skrypt wydobywający kryptowaluty napisany w JavaScript używany także do legalnego wydobywania kryptowalut. W lipcu 2018 Check Point Software Technologies wykazał, że cztery z dziesięciu najczęstszych instalacji złośliwego oprogramowania miało związek z wydobywaniem kryptowalut. Złośliwe oprogramowanie do wydobywania kryptowalut wpłynęło na funkcjonowanie prawie połowy firm na świecie, co oznacza, że wyprzedziło ono złośliwe oprogramowanie ransomware w rankingu największych i najpowszechniejszych zagrożeń w sieci.

Na czym polega nielegalne wydobywanie kryptowalut

Cyberprzestępcy używają różnorodnych technik, aby zainfekować swoje cele złośliwym oprogramowaniem do wydobywania kryptowalut - od zagrażania komputerom i urządzeniom mobilnym indywidulanych użytkowników do infiltracji popularnych stron internetowych i infekowania złośliwym oprogramowaniem każdego, kto je odwiedzi. Emaile phishingowe i spearphishingowe zaprojektowane tak, aby uśpić czujność użytkowników i skłonić ich do kliknięcia w złośliwe linki lub otworzenia złośliwych załączników to ciągle niesamowicie popularne i skuteczne sposoby ataku. Niektóre odmiany tych wiadomości zawierają robaki, które umożliwiają złośliwemu oprogramowaniu przejście z jednego zainfekowanego komputera na wiele innych, z którymi jest połączony siecią. Wirus EternalBlue, który został użyty w 2017 roku do rozprzestrzenienia złośliwego oprogramowania ransomware o nazwie WannaCry na skalę globalnej epidemii, jest ciągle używany przez dystrybutorów złośliwego oprogramowania do wydobywania kryptowalut. Jednak w przeciwieństwie do ofiar ataków złośliwym oprogramowaniem ransomware, ofiary ataków sprofilowanych na wydobywanie kryptowalut nie mają pojęcia, że są okradane - conajwyżej mają wrażenie, że ich system nie działa już tak dobrze jak kiedyś.

Fałszywe aktualizacje oprogramowania to kolejna popularna technika infiltracji, np. pobieranie złośliwego oprogramowania, które podszywa się pod legalną aktualizację programu Adobe Flash Player i maskuje ślady poprzez faktyczną aktualizację Flasha, podczas gdy w tle instaluje złośliwy ładunek kryptograficzny. Inną szeroko rozpowszechnioną metodą jest wstrzyknięcie złośliwego skryptu wydobywającego kryptowaluty do legalnej strony internetowej lub bloku reklam internetowych, które działają na wielu stronach. Gdy ofiara odwiedzi stronę internetową lub jej przeglądarka załaduje reklamę online, zainicjowany jest proces wydobywania kryptowalut, prowadzący do kradzieży zasobów i zysków bez wiedzy użytkownika.

Deweloperzy złośliwego oprogramowania uczą się na swoich błędach. Złośliwe programy zużywające 100 procent mocy obliczeniowej i powodujące zauważalne spowolnienie systemu, które najprawdopodobniej zwróci uwagę użytkownika i skłoni go do działania, nie są już dziś powszechne. Nowsze wersje złośliwego oprogramowania do wydobywania kryptowalut w mądrzejszy sposób maskują swoją obecność: wykorzystują tylko około 20 procent mocy komputera ofiary, czekają na moment bezczynności użytkownika, aby wykonywać najbardziej obciążające obliczenia, itp. Ten sposób działania umożliwia więc okradanie ofiary z zasobów przed długi czas przed wykryciem problemu.

Co gorsza, nie trzeba być wykwalifikowanym programistą, aby zacząć działać w tym nielegalnym biznesie. Podobnie jak w przypadku innych zestawów złośliwego oprogramowania, dostęp do cryptojackingu jako usługi można kupić w darknecie za jedyne pół dolara amerykańskiego. Wysoki stopień prywatności i anonimowości niektórych kryptowalut jak Monero i Zcash sprawia, że znacznie trudniej jest śledzić i łapać złodziei.

Na przykład, Monero używa publicznych rejestrów do tworzenia i śledzenia wymiany cyfrowych tokenów, ale transakcje są maskowane, aby ukryć źródło, przeznaczenie i rzeczywistą ilość transferowanej kryptowaluty. Ostatnie badania naukowe wykazały, że program do kopania kryptowalut Coinhive co miesięc generuje wartość Monero odpowiadającą 250 000 USD. Te same badania, opublikowane przez Uniwersytet RWTH w Akwizgranie podają, że Monero stanowi 75 procent kryptowalut wydobywanych za pośrednictwem przeglądarek internetowych.

Najpopularniejsze oprogramowanie do cryptojackingu

Smominru

Smominru to prawdopodobnie najbardziej znana sieć botów do cryptojackingu, wspomagana przez sieć stale samoregenerujących się inteligentnych botów i składająca się z ponad 520 00 komputerów, które do stycznia 2018 roku zarobiły ilość Monero równą ponad 3 milionom USD. Sieć Smominru była napędzana wirusem EternalBlue skradzionym NSA, użytym w globalnej epidemii złośliwego oprogramowania ransomware o nazwie WannaCry w 2017 roku.

BadShell

Sprytne programy do cryptojackingu takie jak BadShell podszywają się pod legalne procesy jak np. Windows PowerShell, uaktywniając ukryte złośliwe skrypty wydobywajace kryptowaluty za ich pośrednictwem. Tylko niewiele tradycyjnych programów antywirusowych jest w stanie wykryć to zagrożenie, ponieważ zwykle automatycznie identyfikują pliki Windows takie jak PowerShell jako bezpieczne.

Coinhive

Kod do wydobywania kryptowalut Coinhive pierwotnie stworzony i nadal używany jako legalne narzędzie do zarabiania na stronach internetowych, jest obecnie największym zagrożeniem cryptojackingowym na świecie. Ciekawostką jest to, że firma odpowiedzialna za Coinhive zachowuje 30 procent wszystkich zysków z wydobywania kryptowalut, łącznie z operacjami nielegalnymi.

MassMiner

MassMiner to ciekawy przykład, ponieważ podczas jednej instalacji używa wielu wirusów atakujących różne luki w zabezpieczeniu. Wykorzystywanie błędów w oprogramowaniu Oracle WebLogic, Windows SMB i Apache Struts przyniosło twórcom MassMiner zyski w Monero bliskie wartości 200 000 USD.

Prowli

Prowli to ogromna i wyróżniająca się sieć botów z ponad 40 000 zainfekowanymi serwerami sieciowymi, modemami i innymi urządzeniami połączonymi siecią Internet (IoT), wykorzystywana do wydobywania kryptowalut i przekierowywania użytkowników do złośliwych witryn. Część Powli to robak łamiący hasła metodą brute force, aby ułatwić rozprzestrzenianie się oprogramowania wydobywającego Monero. W niektórych przypadkach sieć botów atakuje systemy za pomocą luk w zabezpieczeniu typu backdoor.

WinstarNssMiner

WinstarNssMiner zainfekował ponad pół miliona systemów w ciągu trzech dni w maju 2018 roku. Kiedy WinstarNssMiner wykrywa skuteczne oprogramowanie antywirusowe na komputerze docelowym, pozostaje w stanie uśpienia, aktywując się tylko w słabiej chronionych częściach systemu. Co gorsza, próby usunięcia tego złośliwego oprogramowania powodują zawieszenie się zainfekowanego systemu.

Acronis True Image zwalcza oprogramowanie do cryptojackingu

W ramach trwających działań na rzecz ochrony cybernetycznej firma Acronis śledziła zjawisko wydobywania kryptowalut, które przerodziło się w powszechne zagrożenie na skalę światową. W celu ochrony naszej firmy i naszych klientów przed złośliwym oprogramowaniem do wydobywania kryptowalut, rozszerzyliśmy możliwości naszego oprogramowania antywirusowego Acronis Active Protection, stosując technologię do walki z cryptojakcingiem.

Ta ulepszona wersja programu Acronis Active Protection wykorzystuje zaawansowane uczenie maszynowe do identyfikowania i zamykania wszystkich znanych procesów kryptograficznych działających w systemie Windows. Po wykryciu złośliwego oprogramowania program Acronis Active Protection powiadamia administratora komputera o potencjalnej nielegalnej aktywności. (Ta funkcja jest początkowo dostępna w naszym produkcie podstawowym Acronis True Image Planujemy dodanie tej funkcji do naszego produktu biznesowego Acronis Cyber Backup w niedalekiej przyszłości).