Cryptojacking, hvor en computer inficeres med malware for at udvinde kryptovaluta, har med kryptojacking også haft et prisfald. Virussen og dens propagatorer tilpasser sig, ligesom enhver anden behændig organisme, der står over for udryddelse. Ifølge Symantec faldt cryptojacking-hændelserne med 52 procent mellem januar 2018 og januar 2018, men leverings-, udførelses- og målretningsmetoderne er blevet mere sofistikerede.
Systematec
Symantecs seneste rapport fokuserede på Beapy. Der er tale om en kryptojacking-kampagne, der er rettet mod virksomheder i Asien. Virussen spredes via e-mail ved hjælp af en software exploit kaldet EternalBlue, som er udviklet af USA's NSA. Symantec var den første til at bemærke truslen i januar i år.
Virussen inficerede over 2.000 enheder i marts og har fortsat med at stige støt siden.
"Denne kampagne viser, at kryptojacking er mindre populært blandt cyberkriminelle, end det var på toppen i 2018, men det er stadig et fokuspunkt for nogle af dem, og virksomheder er nu deres primære mål," står der i indledningen til denne rapport.
Symantec-diagram
Ifølge rapporten er 98 procent af dem inficeret af ransomware. Dette stemmer overens med 2018-tendenserne inden for ransomware-angreb, hvor et fald i de samlede trusler var korreleret med en stigning i virksomhedsfokuserede infektioner. Allan Neville, Symantec Threat Intelligence Analyst, sagde, at disse angreb kan "[gøre] nogle enheder ubrugelige på grund af højt CPU-forbrug."
Kina er hovedmålet for dette angreb og overgår alle andre lande, der er berørt, med en forbløffende andel på 83 procent. Blandt de andre lande, der blev ramt, er Japan, Sydkorea og Hongkong, Taiwan og Bangladesh, Filippinerne og - som de eneste to lande fra den østlige halvkugle - Jamaica og Japan.
Strategi for virusinfektion
Inficerede Excel-regneark spreder virussen til Windows-computere. Når regnearket blev åbnet, åbnede det en bagdør til computerens operativsystem. Den benyttede sig af DoublePulse-eksplosionen, som også blev lækket i samme batch af cyberværktøjer, som gav angriberne EternalBlue-vektoren.
Virusfilerne kunne spredes "lateralt på tværs af netværk" ved at udnytte en svaghed i Windows' Server Message Block-protokol.
Minedriftsmalware stjal også legitimationsoplysninger såsom brugernavne og adgangskoder fra inficerede enheder for at kunne sprede sig til andre computere i et netværk. Firmaet opdagede også Beapy-versioner på en offentlig server ved at bruge en liste over IP-adresser til at oprette en hitliste over potentielle ofre.
Mere opadgående end tidligere
Et af de mest slående resultater fra undersøgelsen er, at Beapy adskiller sig fra den kryptojacking-malware, der blev brugt, da infektionerne var på deres højeste i begyndelsen af 2018.
Disse kampagner brugte i vid udstrækning browserbaserede minearbejdere. Disse vira brugte Coinhive-protokollen til at udvinde Monero til velgørenhed. Denne protokol blev brugt af UNICEF og andre websteder som UNICEF. Rapporten antyder, at Coinhive lukkede sine aktiviteter i marts 2019 på grund af Moneros kraftige fald i bjørnemarkedet og et støt fald i kryptojacking.
Beapy er ikke afhængig af browser-mining, men bruger i stedet en mere lukrativ og kompleks filmining-metode. File mining er mere effektiv end browser mining og kan give et højere afkast end browser mining. For eksempel kan det gennemsnitlige afkast på 30 dage ved denne teknik give virusens blackhats $750.000. Det får udbyttet af browser mining til at virke sølle på $30 000.
Billede venligst udlånt af Symantec
Neville sagde, at filbaseret møntmining ikke er nyt, selv om det er på vej op. Det er bare "taget tilbage et sæde til browserbaseret cryptomining de sidste par år", fordi det kræver mindre teknisk færdighed.
Han sagde, "Lanceringen af Coinhive - og dens færdige scripts - har sænket denne barriere endnu mere."
En computer kan stadig køre browser mining, selv om den er beskyttet mod virus.
Neville erklærede, at det er for tidligt at vide, om der vil være en genopblussen af filbaseret minedrift i modsætning til browserbaseret minedrift. Imidlertid vil detektion og beskyttelse mod Coinminers blive forbedret, så cyberkriminelle vil begynde at lede efter "alternative indtægtskilder".
"Efterhånden som cyberkriminelle forbedrer deres taktik, har vi også observeret, at deres tilgang bliver mere specifik."
Forsvar mod truslen
Rapporten slutter med en liste over bivirkninger af cryptojacking-infektioner såsom overophedning af enheden, overdrevent batteriforbrug og mulig nedbrydning af enheden.
Den skitserer også de sikkerhedsforanstaltninger, som virksomheder kan træffe for at beskytte sig mod sådanne angreb. Virksomhederne kan anvende sikkerhedsløsninger på hardware- og softwaresiden, herunder firewalls, sårbarhedsvurderinger, robuste passwords og multi-faktor-autentifikation.
Uddannelse er afgørende for medarbejderne. Rapporten giver læring om kryptojacking, og hvordan man opdager det. Mange af disse punkter blev gentaget af Neville i slutningen af vores korrespondance.
Virksomhederne bør sikre, at medarbejderne er uddannet i at genkende og rapportere phishing-e-mails, der sendes til dem af malware-leverandører. De bør også implementere overlappende og gensidigt understøttende forsvarssystemer for at beskytte mod enkeltstående fejl i enhver teknologi eller beskyttelsesmetode. Dette omfatter implementering af teknologier til beskyttelse af slutpunkt, web og e-mail, firewalls og sårbarhedsvurderingsløsninger. Det er vigtigt at holde disse sikkerhedssystemer opdateret med de nyeste beskyttelsesforanstaltninger og sikre, at systemerne er beskyttet mod exploits som EternalBlue.