Cryptojacking to nowy rodzaj ataku komputerowego, w którym zainfekowane urządzenie jest potajemnie wykorzystywane do kopania kryptowalut. Co więcej, atakujący wielokrotnie wykorzystuje moc obliczeniową ofiar zainfekowanych wirusem i przepustowość łącza (w większości przypadków odbywa się to bez świadomości ich ofiar lub ich zgody), aby efektywniej wydobywać kryptowaluty. Złośliwe formy oprogramowania do szyfrowania są zwykle zaprojektowane tak, aby wykorzystywać wystarczające zasoby systemowe, aby zaspokoić potrzeby atakującego, pozostając niezauważonym tak długo, jak to możliwe. Ponieważ proces wydobywania kryptowaluty wymaga dużej mocy obliczeniowej, osoby atakujące próbują włamać się na wiele urządzeń, aby wykorzystać efekt skali. W ten sposób są w stanie zgromadzić wystarczającą ilość zasobów obliczeniowych, aby wykonać tanie operacje wydobywcze.
Pierwsze wersje wirusów kryptowalutowych polegały na klikaniu złośliwych linków lub otwieraniu załączników dołączanych do wiadomości e-mail przez ofiary w sposób losowy, co wiązało się z zainfekowaniem ich systemu ukrytym krypto-minirem. Jednak w ciągu ostatnich kilku lat przestępcy opracowali bardziej wyrafinowane metody ataku, przenosząc ataki kryptograficzne na zupełnie nowy poziom wyrafinowania. Obecnie większość złośliwego oprogramowania wykorzystywanego do potajemnego wydobywania kryptowalut jest uruchamiana za pomocą skryptów zaimplementowanych w kodzie źródłowym stron internetowych. Ten wektor ataku jest znany jako cryptojacking oparty na przeglądarce / Internecie.
Cryptojacking w przeglądarce i w sieci (ang. Web-based cryptojacking)
Internetowe szyfrowanie (Web-based cryptojacking lub szyfrowanie metodą drive-by) jest obecnie najczęstszą formą cryptojackingu. Zazwyczaj złośliwa aktywność inicjowana i wykonywana przez skrypty uruchomione na danej stronie internetowej, co z kolei prowadzi do automatycznego rozpoczęcia procesu kopania kryptowalut przez przeglądarkę ofiary podczas jego wizyty na zainfekowanej stronie. Internetowe skrypty kryptograficzne są teraz starannie ukryte w kodzie źródłowym wielu witryn internetowych, bez względu na ich popularność, kategorię lub cel.
W większości przypadków przestępcy wybierają Monero jako kryptowalutę, ponieważ proces wydobywania nie wymaga dużych zasobów i mocy obliczeniowej, w przeciwieństwie do procesu wydobywania np. Bitcoina. Ponadto Monero zapewnia wyższy poziom prywatności i anonimowości, co dodatkowo komplikuje śledzenie transakcji dla ofiar lub organów ścigania.
W przeciwieństwie do Ransomware wydobywanie kryptowalut przez złośliwe oprogramowanie rzadko zagraża komputerowi i przechowywanym na nim danym. Najbardziej zauważalnym efektem ubocznym infekcji wirusem rodzaju cryptominer jest zmniejszona wydajność procesora (zwykle towarzyszy przyspieszonej pracy wentylatora / chłodzenia). Jednak w przypadku firm i większych organizacji ograniczona wydajność procesora może utrudnić ich pracę, potencjalnie powodując znaczne straty i / lub utracone możliwości.
Przykłady Cryptojackingu
W grudniu 2017 r. Kod CoinHive został potajemnie wdrożony do sieci Wi-Fi wielu kawiarni Starbucks w Buenos Aires, jak poinformował sfrustrowany klient. Skrypt wyodrębnił kryptowalutę Monero, korzystając z mocy dowolnego urządzenia podłączonego do sieci Wi-Fi kawiarni.
Na początku 2018 r. Internauci odkryli, że CoinHive został uruchomiony w reklamach YouTube za pośrednictwem platformy Google DoubleClick.
W lipcu i sierpniu 2018 r. Jeden z ataków kryptograficznych spowodował infekcję ponad 200 000 routerów MikroTik w Brazylii, wstrzykując kod CoinHive do dużej części lokalnego ruchu sieciowego.
Jak wykrywać i zapobiegać atakom typu Cryptojacking?
Jeśli zauważyłeś, że twój procesor jest używany częściej niż zwykle, a zatem jego chłodzenie (tj. wentylatory) wydaje dźwięki bez wyraźnego powodu – obciążenia – prawdopodobnie twoje urządzenie jest używane do wydobywania kryptowalut. W takiej sytuacji ważne jest, aby najpierw sprawdzić, czy komputer został rzeczywiście zainfekowany i czy wydobywanie kryptowaluty odbywa się za pośrednictwem przeglądarki. Chociaż kopanie kryptowalut w przeglądarce jest stosunkowo łatwe do wykrycia i zatrzymania, aplikacje, które kopią w postaci aplikacji atakujących systemy komputerowe i sieci, nie zawsze są łatwe do wykrycia, ponieważ zazwyczaj są bardzo dobrze ukryte lub podszywają się pod prawdziwe zasoby.
Istnieją rozszerzenia dla przeglądarek internetowych, które są w stanie skutecznie zapobiegać większości ataków kryptograficznych. Wtyczki te są jednak zwykle oparte na statycznej czarnej liście, która może szybko stracić swoje znaczenie, szczególnie w świecie globalnego Internetu. Dlatego zalecamy również aktualizowanie systemu operacyjnego i aktualizację oprogramowania antywirusowego.
Dla firm i większych organizacji ważne jest podejmowanie działań informacyjnych i edukacyjnych na temat technik wykorzystywanych przez przestępców do wydobywania kryptowalut i phishingu, przedstawiając przykłady takich ataków, jak Fałszywe e-maile lub strony internetowe.
Podsumowując:
- Zwróć uwagę na wydajność urządzenia i aktywność procesora;
- Zainstaluj rozszerzenie przeglądarki internetowej, takie jak MinerBlock, NoCoin lub Adblocker;
- Bądź ostrożny i odległy z załącznikami i linkami w wiadomościach e-mail.
- Zainstaluj niezawodny i zalecany program antywirusowy i upewnij się, że Twoje aplikacje i system operacyjny są często aktualizowane;
- Dla firm: Kształć swoich pracowników i edukować ich o możliwych wektorach ataku.