Новая двойная угроза: объединение криптоджекеров с программами-вымогателями

Пик масштабных атак программ-вымогателей пришелся на 2016 и начало 2017 года. Однако уже в конце 2017 г. для домашних пользователей и организаций на первый план стала выходить новая угроза — незаконная добыча криптовалют.

AcronisTrue Image 2021

Как и программы-вымогатели, программы для майнинга (добычи) криптовалют существуют довольно давно. Возможность использовать вычислительные ресурсы компьютера для майнинга биткоинов без мощного или специализированного оборудования известна как минимум с 2011 года. Киберпреступники начали разрабатывать вредоносные программы для выполнения этой функции только после бума криптовалют, то есть в середине/конце 2017 г.

В этот период появились тысячи различных электронных валют на базе технологии Блокчейн. Многие из них стремительно взлетели вверх по объему и капитализации, а некоторые можно было добывать с помощью ресурсов обычного компьютера. Майнинг является одним из основных принципов существования любой криптовалюты. Он предоставляет вычислительную мощность, необходимую для проверки предыдущих транзакций, что обеспечивает целостность электронной валюты. Майнеры криптовалют используют ресурсы своих компьютеров для решения сложных математических задач, при этом первый решивший задачу получает вознаграждение в этой же криптовалюте.

Это может быть выгодным предприятием, если вы сами получаете плату за ресурсы, использованные для проверки транзакций криптовалюты (вычислительную мощность и электричество). Но киберпреступники поняли, что заразив компьютер пользователя вредоносным ПО для майнинга, можно заставить его делать всю работу, а самим только получать прибыль. Помножьте эту прибыль на тысячу или миллион зараженных компьютеров и поймете, почему мошенники поспешили воспользоваться возможностями скрытого майнинга криптовалют: это приносит хороший доход, а жертвы даже не подозревают о том, что их обкрадывают.

Киберпреступники придумали хитрость, которая потенциально может в несколько раз повысить процент успеха и прибыль — объединение разных типов вредоносного ПО. Неосторожный пользователь, открывший ссылку или вложение в письме, которое было отправлено злоумышленником, получает двойное заражение программой для скрытого майнинга и программой-вымогателем. Злоумышленник не активирует сразу оба типа атак, поскольку компьютер, файлы которого зашифрованы программой-вымогателем, не сможет осуществлять майнинг криптовалюты. В результате оценки программной и аппаратной конфигурации компьютера, а также системы защиты от вредоносного ПО, выбирается наиболее эффективная атака. ПО для скрытого майнинга внезапно обрело огромную популярность среди киберпреступников.

Взлет криптоджекеров в 2018

В четвертом квартале 2017 г. поставщиком антивирусного ПО McAfee было обнаружено около 400 000 образцов вредоносных программ для скрытого майнинга криптовалют. А в первом квартале 2018 г. это число резко увеличилось на 629 процентов и достигло небывалого значения в 2,9 миллиона. Во втором квартале оно выросло еще на 86 процентов, добавив 2,5 миллиона новых образцов. В это же время похожие отчеты были опубликованы поставщиком антивирусного ПО TrendMicro: в них отмечался скачок количества подобных атак, в результате которого оно выросло на 956 процентов с начала 2017 г.

Диаграмма количества вредоносных программ для майнинга

Ситуация ухудшается тем, что вредоносное ПО для майнинга криптовалют разрабатывается не только в виде приложений, скрыто работающих на зараженных компьютерах Windows или Linux, но и в виде майнинговых сервисов. Преступные организации незаметно встраивают небольшой фрагмент кода JavaScript на веб-сайты. Этот код частично или полностью использует вычислительную мощность любого браузера, в котором открыт такой сайт. Таким образом компьютер участвует в добыче криптовалюты без ведома пользователя и без какого-либо вознаграждения за использованные системные ресурсы.

Этот метод быстро набрал обороты. В ноябре 2017 г. компанией AdGuard, создателем популярного браузерного плагина для блокировки рекламы, был отмечен рост на 31 процент для случаев криптоджекинга (скрытого браузерного майнинга криптовалют). В ходе исследования было обнаружено более 30 000 веб-сайтов со встроенными сценариями для майнинга, такими как Coinhive, от которого по различным отчетам пострадала каждая пятая организация по всему миру. В феврале 2018 г. в отчете Bad Packets Report фигурировало 34 474 сайтов со встроенным сценарием Coinhive. Это самый популярный майнер на базе JavaScript, который также используется для законного майнинга криптовалюты. В июле 2018 г. отчет Check Point Software Technologies показал, что четыре из десяти самых популярных образцов вредоносного ПО представляют собой майнеры криптовалют. ПО для скрытого майнинга криптовалют затронуло почти половину организаций по всему миру и обогнало программы-вымогатели, став самой крупной и распространенной кибер-угрозой на сегодняшний день.

Как работает незаконный майнинг криптовалют

Чтобы вредоносное ПО для скрытого майнинга попало на целевые устройства, киберпреступники используют самые разные методы — от внедрения на отдельные компьютеры и мобильные устройства до взлома популярных веб-сайтов с целью заражения всех посетителей. Фишинг и целевой фишинг с помощью электронной почты, рассчитанный на то, что доверчивый пользователь откроет вредоносную ссылку или вложение, остается весьма популярным и эффективным направлением атак. В некоторых вариантах вредоносного ПО в качестве компонентов используются сетевые черви, с помощью которых оно распространяется с одного зараженного компьютера на другие машины, подключенные к той же сети. Вредоносный код EternalBlue из-за которого в 2017 г. распространение программы-вымогателя WannaCry приобрело масштабы мировой эпидемии, до сих пор применяется распространителями ПО для скрытого майнинга. Но в отличие от жертв программ-вымогателей, большинство пострадавших от скрытого майнинга криптовалют не подозревают о том, что кто-то зарабатывает за их счет, а просто чувствуют, что система стала медленнее работать.

Другой популярный метод заражения — это фиктивные обновления ПО. Например, вредоносная программа может быть замаскирована под обновление Adobe Flash Player и, чтобы замести следы, действительно обновляет флэш-плеер, но попутно устанавливает ПО для скрытого майнинга.  Еще один распространенный метод представляет собой внедрение вредоносного сценария в нормальный веб-сайт или блокировку рекламных объявлений, встроенных во многие сайты. Когда пользователь заходит на веб-сайт или браузер загружает рекламное объявление, запускается процесс майнинга криптовалюты, который использует вычислительные ресурсы без ведома пользователя.

Разработчики ПО для скрытого майнинга учитывают прошлые ошибки. Сейчас уже редко можно встретить вредоносное ПО, которое поглощает 100 процентов мощности ЦП. Это приводит к значительному замедлению работы компьютера, которое пользователь скорее всего заметит и попытается устранить. Новые образцы вредоносного ПО для майнинга действуют осторожнее, чтобы скрыть свое присутствие. Они загружают ЦП не более чем на 20 процентов, ожидают бездействия пользователя для выполнения самых ресурсоемких вычислений и т. д. Таким образом эти майнеры криптовалют могут незаконно использовать ресурсы компьютера и очень долго оставаться незамеченными.

Более того, сейчас не нужно обладать навыками разработки ПО, чтобы заняться незаконным майнингом. Как и другие наборы вредоносного ПО, услугу криптоджекинга можно приобрести в даркнете всего за полдоллара. Высокий уровень конфиденциальности и анонимности, присущий некоторым криптовалютам, таким как Monero и Zcash, также сильно затрудняет отслеживание и поимку преступников.

Например, Monero использует публичный реестр для создания и отслеживания обмена цифровыми токенами, но в сведениях о транзакции скрывается источник, адресат и сумма переведенной криптовалюты. Недавнее исследование показало, что встроенный майнер Coinhive генерирует криптовалюту Monero на сумму 250 000 долларов в месяц. По данным этого же исследования, опубликованного Рейнско-Вестфальским техническим университетом Ахена в Германии, криптовалюта Monero составляет 75 процентов всего браузерного майнинга.

Популярные криптоджекеры

Smominru

Smominru — пожалуй, самый известный ботнет, включающий более 520 000 зараженных компьютеров, который к январю 2018 г. принес своим владельцам больше трех миллионов долларов в криптовалюте Monero, чему способствовала интеллектуальная структура сети с постоянным самовосстановлением. Smominru работал на основе эксплойта EternalBlue, украденного у АНБ, который также использовался для распространения мировой эпидемии программы-вымогателя WannaCry в 2017 г.

BadShell

Хорошо продуманные криптоджекеры, такие как BadShell, прячутся внутри доверенных процессов, например Windows PowerShell, и через них выполняют скрытые сценарии майнинга. Немногие традиционные антивирусы способны обнаружить эту угрозу, поскольку обычно доверяют подписанным компонентам Windows, таким как PowerShell, по умолчанию.

Coinhive

Майнинговый код Coinhive изначально разрабатывался (и до сих пор используется) как законное средство монетизации веб-сайтов, но к настоящему времени стал крупнейшей в мире угрозой криптоджекинга. Интересно, что компания, ответственная за Coinhive, получает 30 процентов со всех операций майнинга, в том числе со взломанных экземпляров.

MassMiner

MassMiner — любопытный пример, который необычен тем, что использует множество эксплойтов разных уязвимостей в одном пакете. Эксплуатация неисправленных уязвимостей в Oracle WebLogic, Windows SMB и Apache Struts принесла создателям MassMiner почти 200 000 долларов в криптовалюте Monero.

Prowli

Prowli представляет собой масштабный ботнет, включающий более 40 000 зараженных веб-серверов, модемов и других устройств IoT, которые используются для майнинга криптовалюты и перенаправления пользователей на вредоносные веб-сайты. Частью Prowli является сетевой червь для подбора паролей методом полного перебора, чтобы ускорить распространение майнера криптовалюты Monero. В некоторых случаях ботнет также устанавливает бэкдоры на зараженные системы.

WinstarNssmMiner

В мае 2018 г. вредоносной программой WinstarNssmMiner за три дня были заражены больше полумиллиона систем. Этот криптоджекер бездействует, если на целевой машине обнаружено эффективное антивирусное ПО, и активируется только на системах со слабой защитой. Кроме того, при попытке удалить WinstarNssmMiner зараженная система выходит из строя.

Acronis True Image с защитой от криптоджекеров

В рамках постоянной работы над средствами киберзащиты Acronis наблюдает за явлением скрытого майнинга криптовалют, который превратился в масштабную угрозу по всему миру. Чтобы защитить наших корпоративных и домашних пользователей от вредоносного ПО для майнинга криптовалют, мы расширили возможности защиты от программ-вымогателей Acronis Active Protection с помощью технологии, которая позволяет бороться со скрытым майнингом.

В этой улучшенной версии Acronis Active Protection используются передовые методы машинного обучения для обнаружения и блокировки всех известных процессов криптоджекинга в системах Windows. При обнаружении майнера криптовалюты Acronis Active Protection уведомляет администратора системы о потенциально несанкционированной деятельности. (Эта возможность изначально доступна в продукте для домашних пользователей Acronis True Image, в ближайшем будущем мы планируем добавить ее в корпоративные продукты Acronis Cyber Backup.)