Generowanie kryptowaluty przy użyciu własnych zasobów to niezbyt opłacalny biznes. Inwestowanie w domową farmę kopania kryptowaluty jest ryzykowne, a w dodatku nikt nie chce płacić za prąd. Dlatego entuzjaści takiego zajęcia coraz częściej próbują wykorzystywać do tego celu sprzęt kogoś innego.
Wynikające z ich działania szkody są oczywiste: sprzęt przegrzewa się, co sprzyja szybszemu zużyciu. Ponadto wolniejsze działanie urządzeń negatywnie wpływa na płynność działania firmy. I oczywiście znacząco zwiększa zużycie prądu.
Sposoby wykopywania kryptowaluty na sprzęcie kogoś innego
Pomińmy ekstremalne incydenty — takie jak ten, który wydarzył się niedawno w Chinach, gdzie jeden z mieszkańców położył kabel w stawach rybnych i kradł prąd bezpośrednio z zakładu produkującego ropę naftową. Nie umniejszając problemu, był on bardziej związany z brakiem bezpieczeństwa fizycznego, a nie informacyjnego. Ogólnie narzędzia do wykopywania kryptowaluty stosują jedną z trzech metod w celu opanowania czyichś zasobów:
Przez przeglądarkę
Wszyscy atakujący, którzy chcą wykorzystać czyjeś zasoby, muszą uruchomić w przeglądarce ofiary szkodliwy proces. Nic więc dziwnego, że zjawisko kryptokopania przez przeglądarkę jest dosyć szeroko rozpowszechnione. Oszuści zwykle wstrzykują szkodliwe skrypty w często odwiedzane strony lub banery reklamowe, a następnie wykorzystują zasoby systemowe do własnego wzbogacania się.
Mało prawdopodobne jest, że ktoś będzie generował kryptowalutę przez przeglądarkę w ramach ataku na konkretną firmę. Jednak pracownik może wejść na nieszkodliwą stronę internetową i niechcący umożliwić atakującym dostęp do firmowych zasobów. Na przykład w zeszłym roku banery reklamowe zawierające takie skrypty zostały zidentyfikowane w serwisie YouTube.
Przy użyciu szkodliwych programów
Infekcja szkodliwym oprogramowaniem nie jest niczym nowym. Jednak czasami intruzi nie szyfrują ani nie kradną danych, lecz potajemnie wykopują kryptowalutę. Jedyną oznaką ich działalności jest spadek wydajności komputera, więc infekcja może pozostawać niezauważona nawet przez długi czas.
Sposoby infekcji są standardowe: phishingowe e-maile i odnośniki, luki w oprogramowaniu itp. Czasami atakujący infekują serwery, co zwiększa ich dochód (a Twoją stratę). Czasami udaje im się zainfekować kioski informacyjne i elektroniczne tablice, na których takie szkodliwe narzędzia mogą działać nawet latami i nikt nie zwraca na nie uwagi.
Przez pracownika firmy
Narzędzia do kryptokopania, które są uruchamiane w samej firmie, stanowią największe zagrożenie. Pozbawieni skrupułów pracownicy celowo instalują i uruchamiają programy służące do kopania na sprzęcie pracodawcy. Niestety zainstalowane oprogramowanie może mieć problem z automatycznym zaklasyfikowaniem takiego procesu jako szkodliwego — w końcu został on uruchomiony ręcznie przez legalnego użytkownika.
Oczywiście z punktu widzenia cyberprzestępców najbezpieczniejszym sposobem jest uruchomienie koparki w sieci małej firmy, gdzie z mniejszym prawdopodobieństwem zostanie dostrzeżona. Jednak z powodu takich działań szkody mogą ponieść również organizacje rządowe. Miesiąc temu w Australii skazano pracownika rządowego za to, że wykorzystywał swoje oficjalne stanowisko do kryptokopania z użyciem rządowych systemów obliczeniowych.
Jak rozpoznać kryptokopanie?
Pierwszym objawem jest wolniejsze działanie. Gdy zasoby komputera są wykorzystywane przez narzędzia do kryptokopania, pozostałe procesy działają znacznie wolniej niż zwykle. Chociaż każdy komputer działa inaczej i miewa swoje gorsze momenty, w przypadku zainstalowania na nim szkodliwego narzędzia spadek wydajności powinien być na tyle zauważalny, że trudno go przeoczyć.
Po drugie, warto zwrócić uwagę na temperaturę: przeciążone procesory emitują znacznie więcej ciepła, więc systemy chłodzące działają coraz głośniej. Jeśli wentylatory w Twoim komputerze nagle zaczęły działać głośniej niż zazwyczaj, przeprowadź analizę sytuacji.
Jednak najbezpieczniej jest zainstalować rozwiązanie zabezpieczające, które będzie mogło dokładnie określić, czy ktoś korzysta z Twojego sprzętu.
Jak zabezpieczyć swoje zasoby przed kryptokoparkami?
Niezawodnym instrumentem może tu być rozwiązanie Kaspersky Endpoint Security for Business. Podsystem kontrolujący sieć wykryje narzędzie służące do kryptokopania na otworzonej stronie internetowej, a technologie, których używamy do wykrywania i zwalczania szkodliwych programów, zablokują cyberprzestępcom możliwość instalacji takiego trojana. Znacznie bardziej skomplikowane jest kryptokopanie przeprowadzane wewnątrz firmy — tu potrzebny jest spryt administratora.
Ponieważ tej klasy aplikacje niekoniecznie muszą być szkodliwe, są one klasyfikowane jako „potencjalnie niechciane”. Dlatego administrator powinien zablokować używania w firmie potencjalnie niebezpiecznego oprogramowania i dodać do wyjątków niezbędne narzędzia (np. zdalnego dostępu).