Dlaczego ukryte kopanie kryptowalut zagraża firmom?

Podsumowując rok 2017 i zaglądając w naszą kryształową kulę na rok następny, przewidzieliśmy, że ransomware — które spowodowało wiele zamieszania w 2017 r. — zostanie zastąpione przez wyszukane nowe cyberzagrożenia w postaci koparek kryptowalut. Jak pokazało nasze najnowsze badanie, koparki nie tylko sprostały oczekiwaniom, ale także je przekroczyły.

W ciągu kilku ostatnich miesięcy cyberprzestępcy zagrabili ponad 7 milionów dolarów poprzez wstrzykiwanie kryptokoparek. Dziś wyjaśnimy, jak działają koparki na komputerach użytkowników, dlaczego są one obecnie uznawane za największe cyberzagrożenie (zwłaszcza dla firm) oraz jak ochronić przed nimi infrastrukturę.

Zwiększenie się liczby koparek

W 2017 roku, gdy kurs wymiany bitcoina i altcoinów (alternatywnych kryptowalut) sięgnął stratosfery, stało się jasne, że posiadanie tokenów (które można przekształcić w prawdziwe pieniądze) jest naprawdę lukratywnym zajęciem. Szczególnie atrakcyjnym aspektem ekonomii kryptowalut jest to, że w przeciwieństwie do prawdziwych pieniędzy walutę cyfrową może stworzyć każdy, przyczyniając się do budowy łańcucha bloków poprzez wykonywanie obliczeń matematycznych, uzyskując za to wynagrodzenie (zasadę działania łańcucha bloków opisaliśmy w tym poście).

Ogólna zasada kopalni (organizacji, które jednoczą górników) jest taka, że im więcej wykonujesz obliczeń, tym więcej otrzymujesz tokenów. Jednym problemem jest to, że im więcej obliczeń chcesz wykonać, tym więcej mocy obliczeniowej potrzebujesz — i zużywasz więcej prądu.

Cyberprzestępcy nie potrzebowali wiele czasu, aby wpaść na pomysł wykorzystywania cudzych komputerów do wydobywania kryptowaluty — w końcu używanie technologii internetowych do szybkiego zarobku mają zapisane w swoim DNA. W idealnym przypadku komputery ofiar wykonują obliczenia bez wiedzy ich właścicieli czy administratorów. Z oczywistych powodów cyberprzestępcy lubią szczególnie sieci dużych firm, w których działają setki maszyn.

Realizowanie swoich pomysłów idzie im coraz sprawniej. Jak już wspomnieliśmy, ponad 2,7 miliona użytkowników na całym świecie zostało zaatakowane przez „szkodliwe koparki” — to 1,5 razy więcej niż w 2016 roku — i liczba ta stale rośnie. Jakich technologii używają atakujący?

Ukryte zagrożenia

Pierwsza metoda nosi wszystkie znamiona technologii wykorzystywanych do przeprowadzania zaawansowanych długotrwałych ataków (ang. Advanced Persistent Threats, APT), które były wielokrotnie używane w niedawnych kampaniach ransomware na szeroką skalę. Obecnie te same metody — na przykład ataki korzystające z niesławnego exploita EternalBlue — są używane do dystrybucji ukrytych koparek.

Innym sposobem instalowania ukrytej koparki na komputerze ofiary jest nakłonienie użytkownika do pobrania droppera. Zazwyczaj cyberprzestępcy nakłaniają użytkowników, aby pobrali trojana, maskując go pod postacią reklamy, darmowej wersji produktu czy przy wykorzystaniu phishingu.

Po pobraniu program typu dropper uruchamia się na komputerze i instaluje najnowszą wersję koparki oraz specjalne narzędzie, które ukrywa ją w systemie. W pakiecie mogą znajdować się narzędzia automatycznego uruchamiania oraz konfigurowania, które mogą na przykład narzucić, ile zasobów może użyć koparka — w zależności od liczby działających innych programów — aby nie spowodować spowolnienia systemu i nie wzbudzić podejrzeń użytkownika.

Zadaniem tych narzędzi może być również zapobieganie sytuacji, w której użytkownik zatrzymuje działanie koparki. Jeśli użytkownik wykryje koparkę i będzie chciał ją wyłączyć, komputer zostanie uruchomiony ponownie, po czym koparka będzie działać jak wcześniej. Co ciekawe, większość ukrytych koparek używa kodu swoich legalnych odpowiedników, co dodatkowo utrudnia ich wykrycie.

Tokeny można wydobywać nielegalnie w jeszcze inny sposób: poprzez koparki internetowe, czyli przy użyciu przeglądarki. Jest to możliwe, gdy administrator strony osadzi w niej skrypt kopiący, który uruchamia się w przeglądarce, gdy ofiara odwiedza stronę. Może to również zrobić atakujący, który uzyska dostęp na poziomie administratora do strony. Gdy użytkownik wejdzie na daną stronę, jego komputer zacznie budować bloki (z których czerpią korzyści przestępcy używający skryptu).

W jaki sposób firma może ochronić urządzenia przed koparkami?

Obecne techniki przeprowadzania wyszukanych ataków oraz trudność w ich wykrywaniu sprawiają, że cyberprzestępcy mogą budować z komputerów ofiar botnety, których używają do ukradkowego wydobywania kryptowaluty. Nikogo nie trzeba przekonywać, że infrastruktura firmowa ma większe możliwości obliczeniowe, przez co jest w centrum zainteresowania oszustów. Na to zagrożenie mogą być również narażone firmowe urządzenia. W związku z tym zalecamy zastosowanie w firmie następujących środków zapobiegawczych:

• Na wszystkich firmowych komputerach i serwerach zainstaluj produkty zabezpieczające, które ochronią infrastrukturę przed atakami.
• Regularnie przeprowadzaj audyty bezpieczeństwa sieci firmowej, których celem jest wykazanie, czy nie występują w niej jakieś niestandardowe działania.
• Od czasu do czasu sprawdzaj harmonogram zadań, którego oszuści mogą używać do uruchamiania szkodliwych procesów.
• Nie przeocz mniej oczywistych celów, takich jak systemy zarządzania kolejkami, terminale płatnicze, a nawet automaty sprzedażowe. Jak pokazał przypadek koparki wykorzystującej exploita EternalBlue, taki sprzęt również może zostać przechwycony w celu wydobywania kryptowaluty.
• Używaj wyspecjalizowanych urządzeń w trybie odmowy domyślnej — pozwoli to ochronić je nie tylko przed koparkami, ale także wieloma innymi zagrożeniami. Tryb odmowy domyślnej można na przykład skonfigurować przy użyciu naszego produktu Kaspersky Endpoint Security for Business.