Криптоджакингът - заразяването на компютър със зловреден софтуер за добив на криптовалута - доведе до спад на цените заедно с криптоджакинга. Вирусът и неговите разпространители се адаптират, подобно на всеки друг ловък организъм, който е изправен пред изчезване. Според Symantec инцидентите с криптоджакинг са намалели с 52% между януари 2018 г. и януари 2018 г., но методите за доставка, изпълнение и насочване са станали по-сложни.
Systematec
Най-новият доклад на Symantec е посветен на Beapy. Това е кампания за криптоджакинг, която е насочена към бизнеса и предприятията в Азия. Вирусът се разпространява чрез електронна поща, като използва софтуерен експлойт, наречен EternalBlue, който е разработен от АНС на САЩ. Symantec първа забеляза заплахата през януари тази година.
През март вирусът зарази повече от 2000 устройства и оттогава насам броят на заразените устройства непрекъснато нараства.
"Тази кампания показва, че криптокражбите не са толкова популярни сред киберпрестъпниците, колкото в пика им през 2018 г., но все още са във фокуса на вниманието на някои от тях, като сега основната им цел са предприятията", се казва в увода на този доклад.
Графика на Symantec
В доклада се посочва, че 98% от тях са заразени с рансъмуер. Това съответства на тенденциите от 2018 г. при атаките с рансъмуер, при които намаляването на общите заплахи е свързано с увеличаване на инфекциите, насочени към предприятията. Алън Невил, анализатор на Symantec Threat Intelligence, заяви, че тези атаки могат "[да направят] някои устройства неработоспособни поради високото използване на процесора".
Китай е главната цел на тази атака, като превъзхожда всички останали засегнати страни с поразителния дял от 83%. Сред другите засегнати държави са Япония, Южна Корея и Хонконг, Тайван и Бангладеш, Филипините и - единствените две от Източното полукълбо - Ямайка и Япония.
Стратегия за заразяване с вируса
Заразените електронни таблици на Excel разпространяват вируса в компютри с Windows. След отваряне на електронната таблица тя отваряше задна врата към операционната система на компютъра. Той използваше експлойта DoublePulse, който също беше изтекъл в същата партида кибернетични инструменти, които дадоха на нападателите вектора EternalBlue.
Файловете с вируса могат да се разпространяват "странично в мрежите" чрез използване на слабост в протокола Server Message Block на Windows.
Зловредният софтуер за добив на полезни изкопаеми също така краде идентификационни данни като потребителски имена и пароли от заразените устройства, за да се разпространи на други компютри в мрежата. Фирмата е открила и версии на Beapy на сървър с публично предназначение, като е използвала списък с IP адреси, за да създаде списък с потенциални жертви.
Повече предимства отпреди
Един от най-забележителните изводи от проучването е, че Beapy се различава от зловредния софтуер за криптоджакинг, използван в началото на 2018 г., когато инфекциите бяха в пика си.
В тези кампании се използваха предимно браузърни миньори. Тези вируси използваха протокола Coinhive, за да добиват Monero с благотворителна цел. Този протокол беше използван от УНИЦЕФ и други сайтове, подобни на УНИЦЕФ. В доклада се посочва, че Coinhive е прекратил дейността си през март 2019 г. поради резкия спад на Monero на мечия пазар и постоянния спад на криптодобива.
Beapy не разчита на извличане на информация от браузъра, а вместо това използва по-доходоносен и сложен подход за извличане на информация от файлове. Извличането на информация от файлове е по-ефективно от извличането на информация от браузъра и може да донесе по-висока възвръщаемост от извличането на информация от браузъра. Например средната 30-дневна възвръщаемост от тази техника може да донесе на черноработниците на вируса $750,000. Това прави възвръщаемостта от извличането на информация от браузъра нищожна - $30 000.
С любезното съдействие на Symantec
Невил заяви, че файловото копаене на монети не е новост, въпреки че е във възход. През последните няколко години то просто е "отстъпило място на криптодобива, базиран на браузър", защото изисква по-малко технически умения.
Той каза: "Стартирането на Coinhive - и неговите готови скриптове - понижи тази бариера още повече."
Компютърът все още може да работи с браузър за добив на полезни изкопаеми, дори и да е защитен от вируса.
Невил заяви, че е твърде рано да се прецени дали ще има възобновяване на файловото извличане на информация за разлика от браузърното. Откриването и защитата срещу Coinminers обаче ще се подобрят, така че киберпрестъпниците ще започнат да търсят "алтернативни източници на приходи".
"С усъвършенстването на тактиките на киберпрестъпниците наблюдаваме, че подходът им става все по-специфичен."
Защита от заплахата
Докладът завършва с изброяване на страничните ефекти от инфекциите с криптоджакинг, като прегряване на устройството, прекомерна консумация на батерията и възможно влошаване на състоянието на устройството.
В него са описани и мерките за сигурност, които компаниите могат да предприемат, за да се защитят от подобни атаки. Дружествата могат да използват решения за сигурност от страна на хардуера и софтуера, включително защитни стени, оценки на уязвимостта, надеждни пароли и многофакторно удостоверяване.
Образованието е от решаващо значение за служителите. В доклада се преподават уроци за криптоджакинга и как да го разпознаваме. Много от тези точки бяха повторени от Невил в края на нашата кореспонденция.
Предприятията трябва да гарантират, че служителите са обучени да разпознават и докладват фишинг имейли, изпратени им от доставчици на зловреден софтуер. Те трябва също така да внедрят припокриващи се и взаимно подкрепящи се защитни системи, за да се предпазят от единични сривове във всяка технология или метод за защита. Това включва внедряване на технологии за защита на крайни точки, уеб и електронна поща, защитни стени и решения за оценка на уязвимостта. Важно е тези системи за защита да се актуализират с най-новите защити и да се гарантира, че системите са защитени срещу експлойти като EternalBlue.