Το cryptojacking, ο μολυσμένος υπολογιστής με κακόβουλο λογισμικό για την εξόρυξη κρυπτονομισμάτων, έχει δει τις τιμές να πέφτουν μαζί με το cryptojacking. Ο ιός και οι πολλαπλασιαστές του προσαρμόζονται, όπως κάθε άλλος επιδέξιος οργανισμός που βρίσκεται αντιμέτωπος με την εξαφάνιση. Σύμφωνα με τη Symantec, τα περιστατικά cryptojacking μειώθηκαν κατά 52% μεταξύ Ιανουαρίου 2018 και Ιανουαρίου 2018, αλλά οι μέθοδοι παράδοσης, εκτέλεσης και στόχευσης έχουν γίνει πιο εξελιγμένες.
Systematec
Η πιο πρόσφατη έκθεση της Symantec επικεντρώθηκε στην Beapy. Πρόκειται για μια εκστρατεία cryptojacking που στοχεύει επιχειρήσεις και επιχειρήσεις στην Ασία. Ο ιός εξαπλώνεται μέσω ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας ένα exploit λογισμικού που ονομάζεται EternalBlue και αναπτύχθηκε από την NSA των Ηνωμένων Πολιτειών. Η Symantec ήταν η πρώτη που αντιλήφθηκε την απειλή τον Ιανουάριο του τρέχοντος έτους.
Ο ιός μόλυνε πάνω από 2.000 συσκευές τον Μάρτιο και έκτοτε συνεχίζει να αυξάνεται σταθερά.
"Αυτή η εκστρατεία δείχνει ότι η κρυπτοεπιδρομή είναι λιγότερο δημοφιλής στους εγκληματίες του κυβερνοχώρου από ό,τι ήταν στην κορύφωσή της το 2018, αλλά εξακολουθεί να αποτελεί σημείο εστίασης για ορισμένους από αυτούς, με τις επιχειρήσεις να αποτελούν πλέον τον πρωταρχικό τους στόχο", αναφέρεται στην εισαγωγή της έκθεσης.
Διάγραμμα Symantec
Η έκθεση αναφέρει ότι το 98 τοις εκατό έχει μολυνθεί από ransomware. Αυτό συνάδει με τις τάσεις του 2018 στις επιθέσεις ransomware, όπου η μείωση των συνολικών απειλών συσχετίστηκε με την αύξηση των μολύνσεων με επίκεντρο τις επιχειρήσεις. Ο Allan Neville, Threat Intelligence Analyst της Symantec, δήλωσε ότι αυτές οι επιθέσεις μπορούν να "[καταστήσουν] ορισμένες συσκευές μη λειτουργικές λόγω της υψηλής χρήσης της CPU".
Η Κίνα είναι ο κύριος στόχος αυτής της επίθεσης, επισκιάζοντας όλες τις άλλες χώρες που επηρεάζονται με ένα εκπληκτικό ποσοστό 83%. Άλλες χώρες που επηρεάζονται είναι η Ιαπωνία, η Νότια Κορέα και το Χονγκ Κονγκ, η Ταϊβάν και το Μπαγκλαντές, οι Φιλιππίνες και - οι δύο μοναδικές από το ανατολικό ημισφαίριο - η Τζαμάικα και η Ιαπωνία.
Στρατηγική μόλυνσης από ιό
Τα μολυσμένα λογιστικά φύλλα του Excel μεταδίδουν τον ιό σε υπολογιστές με Windows. Μόλις άνοιγε το λογιστικό φύλλο, άνοιγε μια κερκόπορτα στο λειτουργικό σύστημα του υπολογιστή. Έκανε χρήση του exploit DoublePulse, το οποίο διέρρευσε επίσης στην ίδια παρτίδα κυβερνοεργαλείων που έδωσε στους επιτιθέμενους τον φορέα EternalBlue.
Τα αρχεία του ιού θα μπορούσαν να εξαπλωθούν "πλευρικά σε διάφορα δίκτυα" εκμεταλλευόμενοι μια αδυναμία στο πρωτόκολλο Server Message Block των Windows.
Το κακόβουλο λογισμικό εξόρυξης έκλεβε επίσης διαπιστευτήρια όπως ονόματα χρηστών και κωδικούς πρόσβασης από μολυσμένες συσκευές προκειμένου να εξαπλωθεί σε άλλους υπολογιστές εντός ενός δικτύου. Η εταιρεία ανακάλυψε επίσης εκδόσεις του Beapy σε έναν διακομιστή με δημόσια πρόσβαση, χρησιμοποιώντας μια λίστα διευθύνσεων IP για να δημιουργήσει μια λίστα επιτυχίας πιθανών θυμάτων.
Περισσότερη ανοδική πορεία από ό,τι προηγουμένως
Ένα από τα πιο εντυπωσιακά ευρήματα της μελέτης είναι ότι το Beapy διαφέρει από το κακόβουλο λογισμικό κρυπτοδιείσδυσης που χρησιμοποιήθηκε όταν οι μολύνσεις ήταν στο απόγειό τους στις αρχές του 2018.
Αυτές οι εκστρατείες χρησιμοποίησαν σε μεγάλο βαθμό ανθρακωρύχους που βασίζονται σε προγράμματα περιήγησης. Αυτοί οι ιοί χρησιμοποιούσαν το πρωτόκολλο Coinhive για την εξόρυξη του Monero για φιλανθρωπικούς σκοπούς. Αυτό το πρωτόκολλο χρησιμοποιήθηκε από τη UNICEF και άλλους ιστότοπους όπως η UNICEF. Η έκθεση υποδηλώνει ότι η Coinhive διέκοψε τις δραστηριότητές της τον Μάρτιο του 2019 λόγω της απότομης πτώσης του Monero στην bear market και της σταθερής μείωσης των κρυπτοεπιθέσεων.
Το Beapy δεν βασίζεται στην εξόρυξη μέσω προγράμματος περιήγησης και αντ' αυτού χρησιμοποιεί μια πιο επικερδή και σύνθετη προσέγγιση εξόρυξης αρχείων. Η εξόρυξη αρχείων είναι πιο αποτελεσματική από την εξόρυξη μέσω προγράμματος περιήγησης και μπορεί να αποφέρει υψηλότερη απόδοση από την εξόρυξη μέσω προγράμματος περιήγησης. Για παράδειγμα, η μέση απόδοση 30 ημερών αυτής της τεχνικής θα μπορούσε να αποφέρει στους blackhats του ιού $750.000. Αυτό κάνει την απόδοση της εξόρυξης μέσω προγράμματος περιήγησης να φαίνεται ασήμαντη, $30,000.
Χορηγία εικόνας Symantec
Ο Neville δήλωσε ότι η εξόρυξη νομισμάτων με βάση αρχεία δεν είναι κάτι καινούργιο, παρά το γεγονός ότι βρίσκεται σε έξαρση. Απλώς "έχει πάρει πίσω τη θέση του κρυπτοκομίσματος με βάση το πρόγραμμα περιήγησης τα τελευταία δύο χρόνια", επειδή απαιτεί λιγότερες τεχνικές δεξιότητες.
Ο ίδιος δήλωσε: "Το λανσάρισμα του Coinhive - και των έτοιμων σεναρίων του - μείωσε ακόμη περισσότερο αυτό το εμπόδιο".
Ένας υπολογιστής μπορεί να εκτελεί εξόρυξη μέσω προγράμματος περιήγησης ακόμη και αν είναι προστατευμένος από τον ιό.
Ο Neville δήλωσε ότι είναι πολύ νωρίς για να γνωρίζουμε αν θα υπάρξει αναβίωση της εξόρυξης με βάση τα αρχεία σε αντίθεση με την εξόρυξη με βάση το πρόγραμμα περιήγησης. Ωστόσο, η ανίχνευση και η προστασία κατά των Coinminers θα βελτιωθούν, οπότε οι εγκληματίες του κυβερνοχώρου θα αρχίσουν να αναζητούν "εναλλακτικές πηγές εσόδων".
"Καθώς οι εγκληματίες του κυβερνοχώρου βελτιώνουν τις τακτικές τους, παρατηρούμε επίσης ότι η προσέγγισή τους γίνεται πιο συγκεκριμένη".
Άμυνα κατά της απειλής
Η έκθεση καταλήγει με την απαρίθμηση των παρενεργειών των μολύνσεων κρυπτοδιείσδυσης, όπως η υπερθέρμανση της συσκευής, η υπερβολική κατανάλωση μπαταρίας και η πιθανή υποβάθμιση της συσκευής.
Περιγράφει επίσης τα μέτρα ασφαλείας που μπορούν να λάβουν οι εταιρείες για να προστατευθούν από τέτοιες επιθέσεις. Οι εταιρείες μπορούν να χρησιμοποιήσουν λύσεις ασφαλείας από την πλευρά του υλικού και του λογισμικού, όπως τείχη προστασίας, αξιολογήσεις ευπάθειας, ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτότητας πολλαπλών παραγόντων.
Η εκπαίδευση είναι ζωτικής σημασίας για τους εργαζόμενους. Η έκθεση διδάσκει μαθήματα σχετικά με την κρυπτοπειρατεία και πώς να την εντοπίζουν. Πολλά από αυτά τα σημεία επαναλήφθηκαν από τον Neville στο τέλος της αλληλογραφίας μας.
Οι επιχειρήσεις θα πρέπει να διασφαλίζουν ότι οι εργαζόμενοι εκπαιδεύονται ώστε να αναγνωρίζουν και να αναφέρουν τα μηνύματα ηλεκτρονικού ταχυδρομείου phishing που τους αποστέλλονται από αποστολείς κακόβουλου λογισμικού. Θα πρέπει επίσης να εφαρμόζουν αλληλοεπικαλυπτόμενα και αλληλοϋποστηριζόμενα αμυντικά συστήματα για την προστασία από αποτυχίες ενός σημείου σε οποιαδήποτε τεχνολογία ή μέθοδο προστασίας. Αυτό περιλαμβάνει την ανάπτυξη τεχνολογιών προστασίας τελικών σημείων, διαδικτύου και ηλεκτρονικού ταχυδρομείου, τείχη προστασίας και λύσεις αξιολόγησης τρωτότητας. Είναι σημαντικό να διατηρούνται αυτά τα συστήματα ασφαλείας ενημερωμένα με τις πιο πρόσφατες προστασίες και να διασφαλίζεται ότι τα συστήματα προστατεύονται από exploits όπως το EternalBlue.