Cryptojacking, dvs. att en dator infekteras med skadlig kod för att utvinna kryptovaluta, har lett till att priserna har sjunkit i takt med cryptojacking. Viruset och dess spridare anpassar sig, precis som alla andra fingerfärdiga organismer som står inför utrotning. Enligt Symantec minskade kryptojackingincidenterna med 52 procent mellan januari 2018 och januari 2018, men leverans-, genomförande- och målinriktningsmetoderna har blivit mer sofistikerade.
Systematec
Symantecs senaste rapport fokuserade på Beapy. Detta är en kampanj för kryptokapning som riktar sig till företag i Asien. Viruset sprids via e-post med hjälp av en programvara som kallas EternalBlue och som utvecklats av den amerikanska NSA. Symantec var först med att uppmärksamma hotet i januari i år.
Viruset infekterade över 2 000 enheter i mars och har fortsatt att öka stadigt sedan dess.
"Kampanjen visar att kryptokapning är mindre populärt bland cyberbrottslingar än vad det var när det var som mest 2018, men det är fortfarande en viktig fråga för vissa av dem, och företag är nu deras främsta mål", står det i inledningen till rapporten.
Symantec Graph
Enligt rapporten är 98 procent infekterade av utpressningstrojaner. Detta stämmer överens med 2018 års trender för attacker med utpressningstrojaner, där en minskning av de totala hoten korrelerade med en ökning av företagsfokuserade infektioner. Allan Neville, Symantecs Threat Intelligence Analyst, säger att dessa attacker kan "[göra] vissa enheter obrukbara på grund av hög CPU-användning".
Kina är huvudmålet för denna attack och överträffar alla andra länder som drabbats med en häpnadsväckande andel på 83 procent. Andra drabbade länder är Japan, Sydkorea och Hongkong, Taiwan och Bangladesh, Filippinerna samt Jamaica och Japan, de enda två länderna på det östra halvklotet.
Strategi för virusinfektion
Infekterade Excel-kalkylblad sprider viruset till Windows-datorer. När kalkylbladet öppnades öppnade det en bakdörr till datorns operativsystem. Viruset använde sig av DoublePulse-exploiten, som också läckte ut i samma omgång cyberverktyg som gav angriparna EternalBlue-vektorn.
Virusfilerna kan spridas "lateralt över nätverk" genom att utnyttja en svaghet i Windows Server Message Block-protokollet.
Den skadliga gruvdriften stal också autentiseringsuppgifter som användarnamn och lösenord från infekterade enheter för att kunna spridas till andra datorer i ett nätverk. Företaget upptäckte också Beapy-versioner på en offentlig server genom att använda en lista över IP-adresser för att skapa en träfflista över potentiella offer.
Mer uppåt än tidigare
En av de mest slående slutsatserna från studien är att Beapy skiljer sig från den kryptokapningsprogramvara som användes när infektionerna var som störst i början av 2018.
Dessa kampanjer använde till stor del webbläsarbaserade gruvbrytare. Dessa virus använde Coinhive-protokollet för att bryta Monero för välgörenhet. Detta protokoll användes av Unicef och andra webbplatser som liknar Unicef. Rapporten tyder på att Coinhive stängde ner verksamheten i mars 2019 på grund av Moneros kraftiga nedgång på björnmarknaden och en stadig minskning av kryptojacking.
Beapy förlitar sig inte på webbläsarutvinning utan använder istället en mer lukrativ och komplex filutvinning. File mining är effektivare än browser mining och kan ge högre avkastning än browser mining. Den genomsnittliga avkastningen under 30 dagar med denna teknik kan till exempel ge virusets blackhats $750 000 euro. Detta får avkastningen från browser mining att verka futtig med $30 000.
Bild med tillstånd av Symantec
Neville sa att filbaserad myntutvinning inte är något nytt, trots att det är på frammarsch. Det har bara "tagit tillbaka en plats till förmån för webbläsarbaserad kryptomining de senaste åren" eftersom det kräver mindre teknisk kompetens.
Han sade: "Lanseringen av Coinhive - och dess färdiga skript - har sänkt denna barriär ytterligare."
En dator kan fortfarande köra browser mining även om den är skyddad mot viruset.
Neville sade att det är för tidigt att veta om filbaserad gruvdrift kommer att återuppstå i motsats till webbläsarbaserad gruvdrift. Upptäckten och skyddet mot Coinminers kommer dock att förbättras, så cyberbrottslingar kommer att börja leta efter "alternativa inkomstströmmar".
"I takt med att cyberkriminella förbättrar sin taktik har vi också observerat att deras tillvägagångssätt blir mer specifikt."
Att försvara sig mot hotet
Rapporten avslutas med en lista över biverkningar av kryptojacking-infektioner, t.ex. överhettning av enheten, överdriven batteriförbrukning och eventuell nedbrytning av enheten.
Den beskriver också de säkerhetsåtgärder som företag kan vidta för att skydda sig mot sådana attacker. Företagen kan använda säkerhetslösningar på hårdvaru- och mjukvarusidan, inklusive brandväggar, sårbarhetsbedömningar, robusta lösenord och flerfaktorsautentisering.
Utbildning är avgörande för de anställda. Rapporten ger lärdomar om kryptokapning och hur man upptäcker den. Många av dessa punkter upprepades av Neville i slutet av vår korrespondens.
Företagen bör se till att de anställda är utbildade i att känna igen och rapportera phishing-e-post som skickas till dem av malware-leverantörer. De bör också införa överlappande och ömsesidigt stödjande försvarssystem för att skydda sig mot enstaka fel i någon teknik eller skyddsmetod. Detta omfattar användning av teknik för skydd av slutpunkter, webb och e-post, brandväggar och lösningar för sårbarhetsbedömning. Det är viktigt att hålla dessa säkerhetssystem uppdaterade med de senaste skydden och se till att systemen är skyddade mot exploateringar som EternalBlue.