Криптоджекинг — это несанкционированное использование вычислительных ресурсов человека или организации для добычи криптовалюты.
Программы криптоджекинга могут быть вредоносными программами, которые устанавливаются на компьютер жертвы с помощью фишинга, зараженных веб-сайтов или других методов, обычных для атак вредоносных программ, или они могут быть небольшими фрагментами кода, вставленными в цифровую рекламу или веб-страницы, которые работают только во время посещения жертвой конкретного веб-сайта.
Что получают криптоджекеры?
Майнинг криптовалюты требует значительных вычислительных мощностей, а также электричества для работы всей этой мощности. Хотя есть много законных майнеров криптовалюты, использующих собственное оборудование, они делают это по определенной цене. Киберпреступники тайно проводят злонамеренный криптомайнинг в системах других людей, чтобы пожинать плоды, не неся при этом никаких расходов, связанных с процессом майнинга.
Что такое криптовалюта?
Криптовалюта — это форма валюты, которая существует исключительно в Интернете без каких-либо физических свойств. Она стала популярной в последние годы благодаря своей анонимности и безопасности. Биткойн был первой криптовалютой, созданной в 2009 году, и первым экземпляром технологии блокчейна, когда-либо использовавшейся.
Как работает майнинг криптовалюты?
В традиционной безналичной финансовой транзакции продавец отправляет транзакцию в торговый банк, который отправляет ее в платежную систему, которая отправляет ее в банк-эмитент. Попутно различные стороны проверяют транзакцию по своим записям, чтобы убедиться, что она соответствует их критериям — достаточно ли денег на счете, соответствует ли транзакция кредитному лимиту держателя карты, есть ли комиссия за транзакцию и т. д. — а затем транзакция одобрена или отклонена.
Но блокчейны не включают в себя какие-либо централизованные реестры — это распределенные реестры, которые существуют в одноранговых сетях, поэтому нет централизованных органов для утверждения или отклонения транзакции. Вместо этого каждая транзакция шифруется и добавляется в список транзакций, ожидающих присоединения к блокчейну. Каждый из этих наборов списков является «блоком», который еще не «привязан» к существующим блокам. Добавление блоков в блокчейн называется «майнинг».
Новые блоки должны быть проверены, и именно здесь вступает в действие криптомайнинг: чтобы люди не обманывали систему, а хакеры не проводили атаки типа «отказ в обслуживании», должно быть препятствие, которое усложняет добавление блока в блокчейн. Это препятствие принимает форму произвольных математических головоломок, которые необходимо решить, прежде чем блок можно будет проверить и добавить в блокчейн. Первый майнер криптовалюты, решивший одну из этих головоломок, получает вознаграждение в виде криптовалюты.
Как работает криптоджекинг?
Некоторые виды криптовалюты легче добывать, чем другие, и они являются фаворитами хакеров. Например, Monero можно добывать на любом настольном компьютере, ноутбуке или сервере, а для добычи биткойнов требуется дорогостоящее специализированное оборудование. Операции майнинга также можно проводить на мобильном устройстве, устройстве IoT и маршрутизаторе.
Криптомайнеры могут комбинировать свое вредоносное ПО для криптоджекинга с другими типами вредоносного ПО, например, с программами-вымогателями. Когда пользователь нажимает на неверную ссылку или открывает зараженное вложение, загружаются две программы: программа для криптоджекинга и программа-вымогатель.
Злоумышленник оценивает целевую систему на основе конфигурации ее программного обеспечения, конфигурации оборудования и защиты от вредоносных программ, а затем решает, будет ли атака криптоджекинга или атака программ-вымогателей наиболее прибыльной.
Или криптоджекеры могут вообще не устанавливать программу. Небольшой фрагмент кода криптомайнинга может быть встроен в веб-сайт, плагин WordPress или рекламу, а затем автоматически запускаться в браузерах посетителей.
Другой тип атаки криптоджекинга происходит в облаке, где злоумышленники сначала крадут учетные данные, а затем устанавливают свои скрипты в облачную среду.
Примеры криптоджекинга
Coinhive
Coinhive больше не работает, но его стоит изучить, потому что он сыграл неотъемлемую роль в росте угрозы криптоджекинга. Coinhive обслуживался из веб-браузера и загружал файл Javascript на страницы пользователей. Coinhive был основным сценарием для криптоджекинга, пока его операторы не закрыли его из-за падения скорости хэширования, которое произошло после форка Monero, в сочетании с падением рынка криптовалют, которое сделало криптоджекинг менее прибыльным.
WannaMine v4.0
WannaMine v4.0 и его предшественники используют эксплойт EternalBlue для компрометации хостов. Он хранит двоичные файлы эксплойта EternalBlue в каталоге C:\Windows с именем «Сетевое распространение». Этот вариант WannaMine случайным образом генерирует .dll и имя службы на основе списка жестко закодированных строк. Вот как он поддерживает постоянство на хосте.
BadShell
BadShell — это бесфайловое вредоносное ПО, не требующее загрузки. Он использует собственные процессы Windows, такие как PowerShell, планировщик заданий и реестр, что делает его особенно трудным для обнаружения.
Криптоджекерам не нужно устанавливать код для запуска атаки вредоносного ПО без файлов, но им все равно нужен доступ к среде, чтобы они могли модифицировать их собственные инструменты для своих целей.
FaceXWorm
FaceXWorm использует социальную инженерию, чтобы заманить пользователей Facebook Messenger перейти по фальшивой ссылке на YouTube. Поддельный сайт предлагает пользователю загрузить расширение Chrome для просмотра контента, но на самом деле это расширение захватывает учетные записи Facebook своих жертв, чтобы распространять ссылку в сети их друзей.
FaceXWorm делает больше, чем просто взламывает системы пользователей для майнинга криптовалюты: он также перехватывает учетные данные, когда пользователи пытаются войти на определенные сайты, такие как Google и MyMonero, перенаправляет пользователей, которые пытаются перейти на законные платформы обмена криптовалютой, на ложные платформы, которые запрашивают небольшое количество криптовалюты в рамках процесса проверки личности и перенаправляет пользователей на другие вредоносные сайты.
Black-T
Black-T ориентируется на клиентов AWS, используя открытые API-интерфейсы демона Docker. Вредоносное ПО также может использовать инструменты сканирования для выявления других открытых API-интерфейсов демона Docker, чтобы еще больше расширить свои операции по криптоджекингу.
Последствия криптоджекинга
Последствия атаки криптоджекинга для человека, использующего свой домашний ноутбук в личных целях, — это медленная работа компьютера и более высокий счет за электроэнергию, но криптомайнинг в масштабе, нацеленном на предприятие, может нанести значительный вред.
Низкая производительность снижает производительность бизнеса, системные сбои и простои снижают продажи и репутацию, а дорогие высокопроизводительные серверы становятся дорогими низкопроизводительными серверами. И, конечно же, операционные расходы резко возрастают, поскольку корпоративные ресурсы направляются не по их прямому назначению, а для удовлетворения потребностей криптомайнеров.
Кроме того, наличие программного обеспечения для майнинга криптовалют в сети является признаком того, что существует более серьезная проблема кибербезопасности: если хакер может обойти защиту предприятия с помощью программного обеспечения для криптоджекинга, он также может ввести другой вредоносный код в среду предприятия.
Защита от криптоджекинга
Команды безопасности с ограниченными ресурсами и видимостью с трудом борются с криптоджекингом, потому что им необходимо выполнить следующие действия:
Определите событие и выясните вектор атаки. Все более широкое использование легитимных инструментов и бесфайловых атак усложняет эту задачу.
Остановите активное нарушение и быстро восстановите системы. Когда происходит инцидент, группы безопасности должны остановить инцидент, а затем восстановить системы как можно быстрее. Это часто включает в себя ручное исследование и повторное создание образа машин, что является задачей, требующей значительных ресурсов.
Извлеките уроки из атак и закройте бреши в безопасности. После инцидента группы безопасности должны понять, что произошло, почему это произошло, и убедиться, что это больше не повторится.
Криптоджекинг представляет угрозу для производительности и безопасности организации. Для устранения этого риска организациям необходимо:
Соблюдайте строгую гигиену безопасности. ИТ-гигиена является основой безопасности. Регулярное исправление уязвимых приложений и операционных систем, а также защита привилегированных учетных записей пользователей являются важными методами обеспечения оптимальной безопасности.
Обучайте своих сотрудников. Убедитесь, что все сотрудники прошли всестороннее обучение по важности обеспечения безопасности конфиденциальных данных, передовым методам предотвращения криптоджекинга и глубокому пониманию различных способов кибератак.
Разверните платформу защиты конечных точек (EPP) нового поколения. Организации должны быть готовы к предотвращению и обнаружению всех угроз, включая известные и неизвестные вредоносные программы, а также к выявлению атак в оперативной памяти. Для этого требуется решение, которое включает в себя антивирусную защиту нового поколения, а также обнаружение и реагирование конечных точек (EDR) для предотвращения атак и обеспечения полной видимости во всей среде.
Согласно экспертам, эффективная защита от угроз для ваших конечных точек означает развертывание решения с возможностями NGAV и EDR. Платформы для обеспечения безопасности представляют собой решение EPP следующего поколения, предназначенное для обнаружения скрытых поведенческих индикаторов атаки (IOA), независимо от того, записывается ли вредоносное ПО на диск или выполняется только в памяти.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.