Dziś świat jest świadkiem rodzącej się nowej techniki w cyberprzestępczości, która powoli staje się nawet popularniejsza od ataków typu ransomware. Mowa tutaj o atakach typu cryptojacking. Czy powinniśmy się tym martwić, czy może to tylko przemijająca moda?
Wydobywanie kryptowalut vs. Cryptojacking
Aby właściwie odpowiedzieć na to pytanie, powinniśmy wyjaśnić ogólny kontekst zagadnienia. W miarę ewolucji technologii krypto-koparek pojawiają się nowe aspekty etyczne i prawne:
- Uzasadnione wydobycie kryptowalut. Nie ma nic złego w korzystaniu z własnych urządzeń i prądu do wydobywania kryptowaluty.
- Poprzez pojawienie się Coinhive (przyp. red. wtyczka JavaScript do umieszczenia na stronie www, pozwalająca używać mocy obliczeniowej komputera odwiedzającego serwis) i innych podobnych serwisów stało się prawdopodobne tzw. „złośliwe wydobycie”.
Strony internetowe mogą wykorzystywać moc obliczeniową swoich gości do wydobywania, zamiast dostarczać im irytujących reklam. Przynajmniej w teorii brzmi to jak świetny pomysł. Serwis informacyjny Salon.com, a nawet UNICEF wykorzystał go jako alternatywne źródło pozyskiwania funduszy. W przeciwieństwie do ThePirateBay, która niedawno została przyłapana, że robi to potajemnie. W komentarzu do tej sprawy możemy przeczytać "[…] naprawdę chcemy pozbyć się wszystkich reklam. Ale potrzebujemy również pieniędzy, aby utrzymać naszą stronę.".
Jak na ironię, według wątków na stronie Reddit, jego użytkownikom nie podoba się, że strona piracka nie poinformowała swoich użytkowników o takim procederze. - Cryptojacking / Coinjacking / Drive-by mining.
Płacenie wyższych rachunków za kogoś kto korzysta z mocy obliczeniowej bez Twojej wiedzy, nie jest oczywiście legalne. Na przykład w Stanach Zjednoczonych ofiara może powoływać się na Ustawę o przestępstwach i nadużyciach komputerowych (CFAA), podczas gdy w Wielkiej Brytanii obowiązuje Ustawa o niewłaściwym użytkowaniu komputerów. Niestety, podobnie jak w większości przypadków cyberprzestępczości, znalezienie sprawcy jest niezwykle trudne, jeśli nie niemożliwe. W miarę jak problem staje się większy i staje się widoczny gołym okiem, wzrośnie również presja na wywierana na ustawodawcach.
Ogień czekający na podmuch wiatru
Jeszcze rok temu koncepcja Cryptojacking'u nie istniała. Obecnie każdego dnia docierają do nas wiadomości o włamywaczach, którzy wdrażają bardziej zaawansowane metody infiltracji urządzeń, wykorzystując luki w zabezpieczeniach. Aby przybliżyć ten stan przytaczamy niektóre z bardziej spektakularnych przypadków, które ostatnio pojawiły się na pierwszych stronach gazet:
- Coinhive był wykorzystywany przez cyberprzestępców w fali ataków ukryty w Browsealoud, popularnej wtyczce na CMS Wordpress używanej na ponad 4 tysiącach stron, w tym na stronie brytyjskiego Biura ds. Informacji.
- Popularne aplikacje do komunikacji tekstowej, takie jak Telegram, były ostatnio wykorzystane do dostarczenia ofiarom złośliwego kodu, dotknęło to również YouTube, gdzie niektóre reklamy dostarczały skrypt Monero-mining Coinhive.
- Usługa Wi-Fi Starbucks w sklepie w Buenos Aires dała hakerom możliwość przesłania kodu swojego wirusa na komputery klientów sieci kawiarni.
- Do wydobywania popularnej kryptowaluty Monero wykorzystano również przemysłowe systemy kontroli (ICS) i systemy nadzorujące procesy technologiczne (SCADA) jednego z przedsiębiorstw wodociągowych w Europie.
Cryptojacking jest wszechobecny
Istnieje wiele powodów, które wydają się popierać to stwierdzenie:
- Liczba kryptowalut dostępnych do wydobycia ciągle rośnie, ponieważ nowa kryptowaluta może zostać utworzona dowolnym momencie. W połowie kwietnia 2018 r. dostępnych było 1550 różnych rodzajów kryptowalut, na ponad 10 tyś. rynków o łącznej wartości 320 bilionów dolarów. Jest to więcej niż roczny przychód krajowy brutto Izraela.
- Większość nadużyć postaci coinjacking jest wypłacanych w walucie o nazwie Monero, ponieważ opłacalne wydobycie Bitcoina jest w ten sposób niemożliwe. Nawet jeśli założymy, że Monero zniknie z rynku za jakiś czas, jest bardzo duża szansa, że pojawi się inna kryptowaluta bazująca na mocy obliczeniowej procesora.
- Gdy liczba ataków ransomware spada, rośnie nielegalne wydobycie poprzez strony internetowe. Jak pokazują raporty telemetryczne Bitdefender, jest to kolejny trend wskazujący na rosnącą popularność cryptojacking'u.
- Świat jest pełen niezabezpieczonych urządzeń przyłączonych do sieci, a metody cyberprzestępców są coraz bardziej wyrafinowane. Na przykład, niektóre ataki unikają pełnego obciążania procesora, aby przez dłuższy czas pozostać niewykryte.
- Pula użytkowników indywidualnych szybko się wyczerpie, ale duże skupiska danych albo infrastruktury oparte o chmurę będą następne na celowniku. Ta perspektywa jest jeszcze bardziej niepokojąca, ponieważ niespełnione ambicje włamywaczy pokierują ich wzrok w kierunku wykorzystywania innych słabości w bezpieczeństwie sieciowym.
W jaki sposób organizacje mogą się chronić przez cryptojackingiem?
Cryptojacking przyprawia o ból głowy przez podwyższone rachunki za energię i znaczne spowolnienie urządzeń. Być może Twoja firma posiada luki w zabezpieczeniach, które mogą się okazać fatalne w skutkach. Co źle przełoży się oczywiście na reputację Twojej firmy oraz jej wydajność. Upewnij się, że jesteś przygotowany na nadchodzący prawdopodobny wzrost liczby ataków typu cryptojacking.
Cryptojacking to rodzaj cyberprzestępczości, który przynosi duże zyski z niskiego ryzyka, przynajmniej w porównaniu z innymi rodzajami ataków, które uwielbiają przestępcy. Jeśli zaś chodzi o wybór ofiary, nie ma reguły, ale im większy, tym lepiej. Zasadniczo wszystkie organizacje korzystające z niezałatanego lub przestarzałego oprogramowania w swojej infrastrukturze są narażone na poważne ryzyko wytypowania. Było kilka przypadków złośliwego oprogramowania kryptowalutowego wykorzystującego znane exploity, takie jak EternalBlue i DoublePulsar używane przez WannaCry - trafnie nazwane WannaMine. Wada serwera Oracle WebLogic Server (CVE-2017-10271) została wykorzystana do dostarczenia złośliwego kodu na serwery z uniwersytetów i instytucji badawczych.
Co wobec tego mogą zrobić firmy? Łatać swoje systemy, tak jak w powyższym przykładzie, Oracle wydało łatkę zabezpieczeń, która nie została zainstalowana. Ponadto bardziej uważne monitorowanie zasobów może zapobiec eskalacji problemu. Można zareagować poprzez wczesną interwencję w sytuacji, gdy wykryje się nadmierne skoki użycia procesora. Trzeba jednak wziąć pod uwagę, że w celu uniknięcia wykrycia, niektóre złośliwe programy są zaprojektowane tak, aby działały poza godzinami pracy.
Ważne jest zapobieganie i wykrywanie ataków przez pobierane pliki i te zawarte na stronach internetowych, zarówno w centrum danych, jak i na punktach końcowych. Punkty końcowe są preferowanymi punktami wejścia, które bardzo często umożliwiają boczne rozprzestrzenianie się złośliwego oprogramowania. Ataki bez użycia plików i ataki oparte na skryptach - takie jak Powershell, cmd i wscript - są wykrywane podczas wstępnego uruchamiania za pomocą technologii HyperDetect, dostępnej w wersji Bitdefender GravityZone Elite Security.
Aby centra danych przestały być ofiarami wysoce zaawansowanych zagrożeń, takich jak WannaMine, Bitdefender oferuje zaawansowaną technologię ochrony - Hypervisor Introspection, zdolny do wykrycia zagrożeń typu zero day attack lub innych zaawansowanych form ataków bez względu na to, czy ich celem jest instalowanie złośliwego oprogramowania, czy dostarczenie kodu wydobywającego kryptowaluty. Bitdefender GravityZone Elite zapewnia warstwową ochronę nowej generacji, która zapewnia pełną ochronę Twoich urządzeń.
Więcej informacji na bitdefender.pl
Napisz komentarz
Komentarze