Cryptojacking, infikovanie počítača malvérom na ťažbu kryptomeny, zaznamenal pokles cien spolu s cryptojackingom. Vírus a jeho šíritelia sa prispôsobujú, rovnako ako každý iný obratný organizmus, ktorému hrozí vyhynutie. Podľa spoločnosti Symantec počet prípadov cryptojackingu klesol v období od januára 2018 do januára 2018 o 52 %, ale metódy doručenia, vykonávania a cielenia sa stali sofistikovanejšími.
Systematec
Najnovšia správa spoločnosti Symantec sa zamerala na Beapy. Ide o kampaň cryptojacking, ktorá sa zameriava na podniky a firmy v Ázii. Vírus sa šíri prostredníctvom e-mailu pomocou softvérového exploitu s názvom EternalBlue, ktorý vyvinula americká NSA. Spoločnosť Symantec si ako prvá všimla túto hrozbu v januári tohto roka.
V marci vírus infikoval viac ako 2 000 zariadení a odvtedy sa jeho počet neustále zvyšuje.
"Táto kampaň ukazuje, že cryptojacking je medzi kybernetickými zločincami menej populárny, než bol na vrchole v roku 2018, ale stále je pre niektorých z nich stredobodom záujmu, pričom podniky sú teraz ich hlavným cieľom," uvádza sa v úvode tejto správy.
Graf spoločnosti Symantec
V správe sa uvádza, že 98 percent z nich je infikovaných ransomvérom. To je v súlade s trendmi ransomvérových útokov v roku 2018, keď pokles celkových hrozieb súvisel s nárastom infekcií zameraných na podniky. Allan Neville, analytik spoločnosti Symantec Threat Intelligence, uviedol, že tieto útoky môžu "[vyradiť] niektoré zariadenia z prevádzky z dôvodu vysokého využitia CPU".
Hlavným cieľom tohto útoku je Čína, ktorá prevyšuje všetky ostatné postihnuté krajiny s ohromujúcim 83-percentným podielom. Medzi ďalšie postihnuté krajiny patria Japonsko, Južná Kórea a Hongkong, Taiwan a Bangladéš, Filipíny a - ako jediné dve krajiny z východnej pologule - Jamajka a Japonsko.
Stratégia vírusovej infekcie
Infikované tabuľky programu Excel šíria vírus do počítačov so systémom Windows. Po otvorení tabuľky sa otvorili zadné vrátka do operačného systému počítača. Využíval exploit DoublePulse, ktorý unikol aj v rovnakej dávke kybernetických nástrojov, ktoré útočníkom poskytli vektor EternalBlue.
Vírusové súbory sa mohli šíriť "bočne v sieťach" využitím slabiny v protokole Server Message Block systému Windows.
Ťažobný malvér tiež kradol poverenia, ako sú používateľské mená a heslá, z infikovaných zariadení, aby sa mohol šíriť do ďalších počítačov v sieti. Firma tiež objavila verzie Beapy na verejne prístupnom serveri pomocou zoznamu IP adries na vytvorenie zoznamu potenciálnych obetí.
Väčšie plusy ako predtým
Jedným z najpozoruhodnejších zistení štúdie je, že Beapy sa líši od malvéru cryptojacking, ktorý sa používal v čase, keď infekcie vrcholili začiatkom roka 2018.
V týchto kampaniach sa z veľkej časti používali baníci v prehliadači. Tieto vírusy používali protokol Coinhive na ťažbu meny Monero pre charitatívne účely. Tento protokol používala organizácia UNICEF a ďalšie stránky ako napr. Zo správy vyplýva, že Coinhive ukončil svoju činnosť v marci 2019 v dôsledku prudkého poklesu Monera na medveďom trhu a neustáleho poklesu ťažby kryptomeny.
Beapy sa nespolieha na ťažbu v prehliadači a namiesto toho využíva lukratívnejší a komplexnejší prístup ťažby súborov. Ťažba súborov je efektívnejšia ako ťažba v prehliadači a môže priniesť vyšší výnos ako ťažba v prehliadači. Napríklad priemerná 30-dňová návratnosť tejto techniky by mohla čiernym pasažierom vírusu priniesť $750 000. Výnos z ťažby v prehliadači sa tak zdá byť mizivý a dosahuje $30 000.
Obrázok so súhlasom spoločnosti Symantec
Neville uviedol, že ťažba mincí na základe súborov nie je nová, hoci je na vzostupe. V posledných rokoch len "ustúpilo do úzadia ťažbe kryptomien v prehliadači", pretože si vyžaduje menej technických zručností.
Povedal: "Spustenie Coinhive - a jeho hotových skriptov - túto bariéru ešte viac znížilo."
Počítač môže spustiť ťažbu v prehliadači, aj keď je chránený proti vírusu.
Neville uviedol, že je príliš skoro na to, aby sa dalo povedať, či sa obnoví ťažba na základe súborov na rozdiel od ťažby v prehliadači. Zlepšuje sa však detekcia a ochrana proti Coinminerom, takže kybernetickí zločinci začnú hľadať "alternatívne zdroje príjmov".
"Ako sa kybernetickí zločinci zdokonaľujú vo svojich taktikách, pozorujeme aj to, že ich prístup je čoraz špecifickejší."
Obrana proti hrozbe
V závere správy sa uvádzajú vedľajšie účinky infekcie cryptojacking, ako je prehrievanie zariadenia, nadmerná spotreba batérie a možná degradácia zariadenia.
Uvádza aj bezpečnostné opatrenia, ktoré môžu spoločnosti prijať na ochranu pred takýmito útokmi. Spoločnosti môžu využívať bezpečnostné riešenia na strane hardvéru a softvéru vrátane firewallov, hodnotenia zraniteľností, spoľahlivých hesiel a viacfaktorovej autentifikácie.
Vzdelávanie je pre zamestnancov kľúčové. V správe sa dozviete, čo je to cryptojacking a ako ho rozpoznať. Mnohé z týchto bodov zopakoval Neville na konci našej korešpondencie.
Podniky by mali zabezpečiť, aby boli zamestnanci vyškolení na rozpoznávanie a nahlasovanie phishingových e-mailov, ktoré im posielajú poskytovatelia malvéru. Mali by tiež zaviesť prekrývajúce sa a vzájomne sa podporujúce obranné systémy, aby sa chránili pred zlyhaním jedného bodu v akejkoľvek technológii alebo metóde ochrany. To zahŕňa nasadenie technológií na ochranu koncových bodov, webu a e-mailu, firewallov a riešení na hodnotenie zraniteľnosti. Je dôležité udržiavať tieto bezpečnostné systémy v aktuálnom stave s najnovšími ochrannými prvkami a zabezpečiť, aby boli systémy chránené proti exploitom, ako je napríklad EternalBlue.