Что такое «криптоякинг»? Как его обнаружить, восстановить потери и предотвратить в дальнейшем?

Некоторые киберпреступники используют тактику с вредоносными веб-сайтами, как при интернет-вымогательстве, чтобы использовать ваши, компьютеры, и компьютеры сотрудников вашей компании для майнинга криптовалюты. Вот что вы можете сделать, чтобы защититься от этого.

Что такое «криптоякинг»? Как его обнаружить, восстановить потери и предотвратить в дальнейшем?

Криптоякинг – это несанкционированное использование чужого компьютера для майнинга криптовалюты. Хакеры добиваются этого, вынуждая жертву перейти по вредоносной ссылке, размещенной, например, в электронном письме. После этого на компьютер загружается майнинг-код криптовалюты, или происходит соединение с веб-сайтом, который автоматически подгружает на компьютер жертвы данные, необходимые для скрытого майнинга.

В любом случае, дальше код для криптомайнинга работает в фоновом режиме, поскольку ничего не подозревающая жертва продолжает работать за своим компьютером. Единственный признак, по которому пользователь может понять, что что-то пошло не так – низкая производительность машины и постоянные тормоза.

Почему криптоякинг набирает обороты?

Никто не знает наверняка, сколько криптовалюты добывается с помощью криптоякинга, но нет никаких сомнений в том, что масштабы велики, и продолжают расти. В частности, растет браузерный криптоякинг. В ноябре прошлого года Adguard сообщил о 31-процентном темпе роста криптоякинга через браузеры. Исследование основывалось на данных, полученных на 33 000 сайтов, на которых были выявлены скрипты для майнинга.

Специалисты Adguard предположили, что за месяц на этих сайтах в совокупности был выполнен миллиард посещений. В феврале в отчете Bad Packet было показано 34 474 сайта, на которых работает Coinhive, самый популярный JavaScript-майнер, который также используется для легальной добычи криптовалюты.

«Майнинг криптовалют находится в зачаточном состоянии. Есть много возможностей для его роста и развития», – говорит Марк Лалиберте (Marc Laliberte), аналитик по угрозам в области решений для защиты сетей WatchGuard Technologies.

Он отмечает, что Coinhive быстро получил распространение и сгенерировал 300 тысяч долларов в первый месяц.

«С тех пор он еще немного вырос. Это очень легкие деньги», - добавил аналитик.

В январе исследователи нашли ботнет для добычи криптовалюты Smominru, который заразил более полумиллиона машин, в основном в России, Индии и Тайване. Ботнет нацелил серверы Windows на майнинг Monero, а фирма Proofpoint, занимающаяся кибербезопасностью, оценила, что на конец января объемы добычи монеты 3,6 миллиона долларов.

Криптоякинг даже не требует существенных технических навыков. Согласно данным исследований, новая «криптовалютная лихорадка» – это новые возможности для мошенничества: набор криптоякинга от Digital Shadows доступен в Даркнете всего за 30 долларов.

Простая причина, по которой криптоякинг становится все более популярным среди хакеров – это больший доход при меньшем риске.

«Хакеры считают, что криптоякинг является более дешевой, более выгодной альтернативой вымогательству», – говорит Алекс Вайстих, технический директор и соучредитель SecBI. Занимаясь вымогательством, хакер сможет вынудить заплатить всего трех пользователей при сотне зараженных вирусами компьютеров.

При криптоякинге все 100 зараженных машин работают на хакера. «Хакер делает то же самое, что и при попытке вымогательства, но ему не нужно рисковать общением с жертвой, а скрытый майнер просто непрерывно генерирует деньги».

Риск быть разоблаченным и пойманным также намного меньше, чем при попытке получить выкуп. Код криптомайнинга запускается скрыто и может оставаться необнаруженным в течение длительного времени. После обнаружения источник очень трудно отследить, к тому же, жертвам это не очень-то и нужно, поскольку ничего не было украдено или не зашифровано. Хакеры, как правило, предпочитают анонимные криптовалюты, такие как Monero и Zcash, потому что в этом случае сложнее отслеживать незаконную деятельность, по сравнению с более популярным Bitcoin.

Как работает криптоякинг?

У хакеров есть два основных способа заставить компьютер жертвы тайно добывать криптовалюту. Один из них заключается в том, чтобы обманом загрузить код криптомайнинга на компьютер жертвы. Это делается с помощью тактики, подобной фишингу: жертвы получают по электронной почте письмо безобидного содержания, которое побуждает их кликнуть по ссылке. Ссылка запускает код, который помещает скрипт криптомайнинга на компьютер. Затем скрипт работает в фоновом режиме, когда компьютер пользователя включен.

Другой метод – вставить сценарий на веб-сайт или объявление, которое доставляется на несколько веб-сайтов. После того как жертвы посещают веб-сайт, или в их браузерах всплывает зараженное объявление, скрипт автоматически выполняется. Сам код криптомайнинга в компьютерах жертв не хранится. Какой бы метод ни использовался, код выполняет сложные математические задачи на компьютерах жертв и отправляет результаты на сервер, который контролирует хакер.

Хакеры часто используют оба метода, чтобы максимизировать отдачу.

«Для атак используют старые вредоносные трюки, чтобы с наибольшей вероятностью доставить зараженное ПО [на компьютеры жертв] для получения отката», – говорит Вайстих.

Например, из 100 устройств, майнящих криптовалюты для хакера, 10 процентов могут приносить доход от майнинг-кода, установленного на компьютерах жертв, а 90 процентов - через веб-браузеры.

В отличие от большинства других типов вредоносных программ, криптографические скрипты не наносят ущерба компьютерам или данным жертв. Они воруют ресурсы процессора. У большинства пользователей более низкая производительность компьютера вызовет лишь раздражение. Организация, система которой подверглась криптоякингу, может понести реальные затраты из-за времени, потраченного на устранение проблем с производительностью и замену компонентов или.

Как предотвратить криптоякинг?

Выполните следующие шаги, чтобы свести к минимуму риск того, что ваша организация станет жертвой киберпреступной игры:

Включите рассмотрение угрозы криптоякинга в тренинги по безопасности, сосредоточив внимание на попытках фишингового типа загрузить скрипты на компьютеры пользователей.

«Обучение поможет защитить вас, когда технические решения могут потерпеть неудачу», – говорит Лалиберте.

Он считает, что фишинг по-прежнему будет оставаться основным методом доставки вредоносных программ всех типов. Обучение сотрудников не поможет защититься от автоматического запуска программ криптоякинга при посещении веб-сайтов с хорошей репутацией.

«Тренинг менее эффективен для защиты от такого криптоякинга, потому что вы не можете перечислить пользователям сайты, на которые не стоит заходить», – говорит Вайстих.

Установите расширение, блокирующее рекламу и подозрительные всплывающие окна в браузере. Поскольку скрипты криптоякинга часто доставляются через веб-объявления, установка блокирующего расширения может быть эффективным средством их предотвращения. Некоторые блокировщики рекламы, такие как Ad Blocker Plus, умеют обнаруживать скрипты для скрытого майнинга криптовалюты.

Лалиберте рекомендует и другие расширения, такие, как No Coin и MinerBlock, которые предназначены конкретно для обнаружения и блокирования скриптов для скрытого майнинга.

Обновляйте инструменты веб-фильтрации. Если вы идентифицируете веб-страницу, на которой выполняются скрипты криптоякинга, убедитесь, что повторный доступ ваших сотрудников на нее заблокирован. Следите за расширениями браузера. Некоторые злоумышленники используют вредоносные расширения или используют легальные расширения для выполнения скриптов скрытого майнинга.

Используйте приложения для управления мобильными устройствами (MDM), чтобы лучше контролировать, что находится на устройствах пользователей. Политика Bring-your-own-device (BYOD) представляет собой проблему для предотвращения незаконного криптомайнинга.

«MDM может пройти долгий путь, чтобы сохранить безопасность BYOD», - говорит Лалиберте.

Решение MDM может помочь управлять приложениями и расширениями на устройствах пользователей. Решения MDM, как правило, ориентированы на более крупные предприятия, а небольшие компании часто не могут их себе позволить.

Однако Лалиберте отмечает, что мобильные устройства не так подвержены риску, как настольные компьютеры и серверы, поскольку мини-девайсы, как правило, имеют меньшую вычислительную мощность, они не так выгодны для хакеров.

Как выявить криптоякинг?

Как и интернет-вымогательство, криптоякинг может поразить вашу организацию, несмотря на все усилия, чтобы остановить это. Обнаружение процесса может быть затруднено, особенно если заражены только несколько систем. Не думайте, что ваша существующая антивирусная защита способна остановить криптоякинг.

«Код криптомайнинга может скрываться от сигнатурных инструментов обнаружения. Обычные антивирусные инструменты не будут его видеть» – говорит Лалиберте.

А вот что может помочь в данной ситуации:

Обучите свою службу технической поддержки находить признаки скрытого майнинга.

«Иногда первым признаком является всплеск жалоб со стороны сотрудников относительно медленной работы компьютеров», - говорит Вайстих.

Это должно стать тревожным сигналом, и инициировать дальнейшее расследование.

Другие сигналы, на которые, по мнению Лалиберте, следует обратить внимание службы технической поддержки - это перегрев системы, который может привести к сбоям работы процессора или систем охлаждения.

«Тепло [от чрезмерного использования ЦП] приводит к повреждению, и может сократить жизненный цикл устройств», – говорит он.

Это особенно касается тонких мобильных устройств, таких как планшеты и смартфоны.

Начните тщательнее мониторить сеть. Вайстих считает, что криптоякинг легче обнаружить в корпоративной сети, чем дома, потому что большинство конечных решений для потребителей его не обнаруживают. Криптоякинг легко выявить через решения сетевого мониторинга, и большинство корпоративных организаций имеют в своем распоряжении такие средства.

Тем не менее, немногие организации, имеющие сетевые средства и данные, имеют также инструменты и возможности для анализа этой информации и точного обнаружения угрозы. Например, SecBI разрабатывает решение для искусственного интеллекта для анализа сетевых данных и обнаружения криптоякинга и других конкретных угроз.

Лалиберте соглашается, что мониторинг сети – лучший выбор для обнаружения активности скрытого криптомайнинга.

«Мониторинг сети, который позволяет контролировать весь веб-трафик, дает больше шансов обнаружить криптомайнеров», - говорит он.

Многие решения для мониторинга выявляют такую активность для конкретных пользователей, поэтому вы можете определить, какие устройства затронуты.

Как реагировать на атаку криптоякинга?

Блокируйте и удаляйте скрипты, созданные на сайте. Для JavaScript-атак в браузере решение просто – закройте вкладку. IT-отделу следует отметить URL-адрес веб-сайта, который является источником скрипта, и обновить веб-фильтры компании, чтобы заблокировать его. Подумайте о развертывании инструментов для защиты от криптоякинга, чтобы предотвратить будущие атаки.

Обновите и очистите расширения браузера.

«Если расширение заразило браузер, закрытие вкладки не поможет. Обновите все расширения и удалите те, которые не нужны или которые заражены», – говорит Лалиберте.

Изучайте и адаптируйте. Используйте этот опыт, чтобы лучше понять, как злоумышленник мог скомпрометировать ваши системы. Обучайте пользователей, службу поддержки и IT-отдел, чтобы они могли лучше определять попытки криптояккинга и соответственно реагировать на них.

Категория: 
Безопасность
Голосов еще нет
499 / 0
Аватар пользователя Иван Петров
Публикацию добавил: Иван Петров
Дата публикации: ср, 03/07/2018 - 10:44

Что еще почитать:

Добавить комментарий