30/07/2018

PowerGhost: uwaga na ukryte kopanie kryptowalut

Biznes

Niedawno nasi eksperci wykryli koparkę, której głównym celem były sieci firmowe. Dzięki bezplikowej naturze PowerGhost umożliwia szkodliwym programom ukradkowe przedostawanie się do stacji roboczych lub serwerów ofiar. Większość zarejestrowanych przez nas na chwilę obecną ataków miała miejsce w Indiach, Turcji, Brazylii i Kolumbii.

Gdy PowerGhost przedostanie się do infrastruktury firmowej, podejmuje próbę zalogowania się do kont sieciowych za pomocą oryginalnego narzędzia administracji zdalnej — Windows Management Instrumentation (WMI). Loginy i hasła szkodliwy program uzyskuje poprzez narzędzie do wyłuskiwania danych, o nazwie Mimikatz. Koparka ta może również być dystrybuowana za pośrednictwem exploita EternalBlue przeznaczonego dla systemu Windows, którego używali autorzy takich zagrożeń jak WannaCry czy ExPetr. Teoretycznie luka ta została załatana rok temu, jednak nie wszyscy zainstalowali aktualizację.

Po przedostaniu się na urządzenie ofiary szkodliwy program próbuje zwiększyć swoje uprawnienia, wykorzystując różne luki w systemie operacyjnym (szczegóły techniczne umieściliśmy w naszym poście w serwisie SecureList). Następnie koparka rozpoczyna wydobywanie kryptowaluty na rzecz swoich autorów.

Dlaczego koparka PowerGhost stwarza zagrożenie?

Podobnie jak inne koparki PowerGhost wykorzystuje zasoby obliczeniowe ofiary w celu generowania kryptowaluty. Zmniejsza to wydajność serwera i samego urządzenia, jak również znacząco skraca żywotność sprzętu, zwiększając koszty związane z jego wymianą.

Jednak w porównaniu z większością takich programów PowerGhost jest trudniejszy w wykryciu, ponieważ nie pobiera na urządzenie szkodliwych plików. A to oznacza, że może działać dłużej na serwerze czy stacji roboczej i wyrządzić większe szkody.

Co więcej, w jednej z wersji tego szkodliwego programu nasi eksperci wykryli narzędzie służące do przeprowadzania ataków DDoS. Wykorzystanie serwerów firmy do bombardowania innej ofiary może spowolnić, a nawet sparaliżować ich działanie. Ciekawą cechą tego szkodliwego programu jest jego zdolność sprawdzania, czy działa w prawdziwym systemie operacyjnym, czy w piaskownicy, dzięki czemu potrafi on omijać standardowe rozwiązania ochronne.

Jak zabezpieczyć się przed zagrożeniem PowerGhost

Aby uniknąć infekcji i zabezpieczyć sprzęt przed atakiem takich programów jak PowerGhost, warto starannie zadbać o bezpieczeństwo sieci firmowej.

  • Nie pomijaj aktualizacji oprogramowania i systemu operacyjnego. Wszystkie luki wykorzystywane przez wspomnianą koparkę zostały już dawno temu załatane przez producentów. Pamiętaj, że autorzy wirusów chętnie przygotowują exploity dla dawno już załatanych luk.
  • Zwiększaj wiedzę pracowników w zakresie bezpieczeństwa. Nie zapominaj, że wiele incydentów w cyberprzestrzeni wynika z błędu człowieka.
  • Korzystaj z niezawodnego produktu zabezpieczającego, który dysponuje technologią analizy zachowania — tylko w ten sposób można zidentyfikować obecność zagrożeń bezplikowych. Produkty dla firm od Kaspersky Lab wykrywają zarówno zagrożenie PowerGhost, jak i jego poszczególne komponenty, a także wiele innych szkodliwych programów — nawet tych jeszcze nieznanych.