Cryptojacking, infikování počítače malwarem za účelem těžby kryptoměn, zaznamenal pokles cen spolu s cryptojackingem. Virus a jeho šiřitelé se přizpůsobují, stejně jako každý jiný obratný organismus, kterému hrozí vyhynutí. Podle společnosti Symantec poklesl počet případů cryptojackingu mezi lednem 2018 a lednem 2018 o 52 %, ale způsoby doručení, provedení a cílení se staly sofistikovanějšími.
Systematec
Nejnovější zpráva společnosti Symantec se zaměřila na Beapy. Jedná se o kryptografickou kampaň, která se zaměřuje na podniky a firmy v Asii. Virus se šíří prostřednictvím e-mailu pomocí softwarového exploitu nazvaného EternalBlue, který vyvinula americká NSA. Společnost Symantec si této hrozby všimla jako první v lednu letošního roku.
Virus v březnu infikoval více než 2 000 zařízení a od té doby se jeho výskyt neustále zvyšuje.
"Tato kampaň ukazuje, že kryptokradeže jsou mezi kyberzločinci méně populární než na vrcholu v roce 2018, ale stále jsou pro některé z nich středem zájmu a jejich hlavním cílem jsou nyní podniky," uvádí se v úvodu této zprávy.
Graf společnosti Symantec
Zpráva uvádí, že 98 procent z nich je infikováno ransomwarem. To odpovídá trendům v oblasti útoků ransomwaru v roce 2018, kdy pokles celkových hrozeb souvisel s nárůstem infekcí zaměřených na podniky. Allan Neville, analytik společnosti Symantec Threat Intelligence, uvedl, že tyto útoky mohou "[vyřadit] některá zařízení z provozu kvůli vysokému využití procesoru".
Hlavním cílem tohoto útoku je Čína, která s ohromujícím 83% podílem převyšuje všechny ostatní postižené země. Mezi další postižené země patří Japonsko, Jižní Korea a Hongkong, Tchaj-wan a Bangladéš, Filipíny a - jako jediné dvě země z východní polokoule - Jamajka a Japonsko.
Strategie virové infekce
Infikované tabulky aplikace Excel šíří virus do počítačů se systémem Windows. Po otevření tabulky se otevřela zadní vrátka do operačního systému počítače. Využíval přitom exploit DoublePulse, který unikl ve stejné dávce kybernetických nástrojů, jež útočníkům poskytly vektor EternalBlue.
Soubory viru se mohly šířit "bočně po sítích" využitím slabiny v protokolu Server Message Block systému Windows.
Těžební malware také kradl z infikovaných zařízení přihlašovací údaje, jako jsou uživatelská jména a hesla, aby se mohl šířit do dalších počítačů v síti. Firma také odhalila verze Beapy na veřejně přístupném serveru pomocí seznamu IP adres k vytvoření seznamu potenciálních obětí.
Větší plus než dříve
Jedním z nejpozoruhodnějších zjištění studie je, že Beapy se liší od malwaru cryptojacking používaného v době, kdy infekce vrcholily na začátku roku 2018.
Tyto kampaně z velké části využívaly těžaře v prohlížečích. Tyto viry využívaly protokol Coinhive k dobývání měny Monero pro charitativní účely. Tento protokol používal UNICEF a další stránky jako např. Zpráva naznačuje, že Coinhive ukončil činnost v březnu 2019 kvůli prudkému poklesu Monera na medvědím trhu a stálému poklesu kryptoměn.
Beapy nespoléhá na těžbu v prohlížeči a místo toho využívá lukrativnější a komplexnější přístup k těžbě souborů. Těžba souborů je efektivnější než těžba v prohlížeči a může přinést vyšší výnos než těžba v prohlížeči. Například průměrná 30denní návratnost této techniky může blackhats viru vynést $750 000. Výnos z těžby v prohlížeči se tak zdá být mizivý a činí $30 000.
Obrázek se svolením společnosti Symantec
Neville uvedl, že těžba mincí na základě souborů není nová, přestože je na vzestupu. V posledních několika letech jen "ustoupila kryptominingu založenému na prohlížeči", protože vyžaduje méně technických dovedností.
Řekl: "Spuštění Coinhive - a jeho hotových skriptů - tuto bariéru ještě více snížilo."
Počítač může spustit těžbu v prohlížeči, i když je chráněn proti virům.
Neville uvedl, že je příliš brzy na to, aby se dalo říci, zda dojde k obnovení těžby založené na souborech na rozdíl od těžby založené na prohlížeči. Zlepší se však detekce a ochrana proti těžařům mincí, takže kyberzločinci začnou hledat "alternativní zdroje příjmů".
"Jak se kyberzločinci zdokonalují ve svých taktikách, pozorujeme také, že jejich přístup je stále specifičtější."
Obrana proti hrozbě
V závěru zprávy jsou uvedeny vedlejší účinky infekcí způsobených cryptojackingem, jako je přehřívání zařízení, nadměrná spotřeba baterie a možná degradace zařízení.
Uvádí také bezpečnostní opatření, která mohou společnosti přijmout, aby se před takovými útoky ochránily. Společnosti mohou používat bezpečnostní řešení na straně hardwaru i softwaru, včetně firewallů, hodnocení zranitelností, robustních hesel a vícefaktorového ověřování.
Vzdělávání je pro zaměstnance klíčové. Ve zprávě se dozvíte, co je to cryptojacking a jak ho rozpoznat. Mnoho z těchto bodů zopakoval Neville na konci naší korespondence.
Podniky by měly zajistit, aby byli zaměstnanci vyškoleni v rozpoznávání a hlášení phishingových e-mailů zasílaných poskytovateli malwaru. Měly by také zavést překrývající se a vzájemně se podporující obranné systémy, aby se ochránily před selháním jednoho bodu v jakékoli technologii nebo metodě ochrany. To zahrnuje nasazení technologií ochrany koncových bodů, webu a e-mailu, firewallů a řešení pro vyhodnocování zranitelností. Je důležité udržovat tyto bezpečnostní systémy v aktuálním stavu s nejnovějšími ochranami a zajistit, aby byly systémy chráněny proti exploitům, jako je EternalBlue.