Cryptojacking, nakatunud arvuti pahavara kaevandada cryptocurrency, on näinud hinnad langevad koos cryptojacking. Viirus ja selle levitajad kohanevad, nagu iga teine väljasuremisega silmitsi seisev osavusorganism. Symanteci andmetel vähenesid krüptojagamisjuhtumid 2018. aasta jaanuarist kuni 2018. aasta jaanuarini 52 protsenti, kuid levitamise, täitmise ja sihtimismeetodid on muutunud keerulisemaks.
Systematec
Symanteci viimane aruanne keskendus Beapy'le. Tegemist on krüptohäkkimiskampaaniaga, mis on suunatud Aasia ettevõtetele ja ettevõtetele. Viirus levib e-posti teel, kasutades EternalBlue-nimelist tarkvara, mille on välja töötanud Ameerika Ühendriikide NSA. Symantec märkas ohtu esimesena selle aasta jaanuaris.
Märtsis nakatas viirus üle 2000 seadme ja on sellest ajast alates pidevalt kasvanud.
"See kampaania näitab, et küberkurjategijate seas on krüptovargused vähem populaarsed kui 2018. aasta tipphetkel, kuid see on mõnede jaoks ikka veel keskne punkt, kusjuures ettevõtted on nüüd nende peamine sihtmärk," seisab selle aruande sissejuhatuses.
Symanteci graafik
Aruandes märgitakse, et 98 protsenti on nakatunud lunavara poolt. See on kooskõlas 2018. aasta suundumustega lunavararünnakutes, kus üldiste ohtude vähenemine oli korrelatsioonis ettevõtetele suunatud nakatumiste suurenemisega. Allan Neville, Symanteci Threat Intelligence'i analüütik, ütles, et need rünnakud võivad "[muuta] mõned seadmed suure protsessorikasutuse tõttu kasutamiskõlbmatuks".
Hiina on selle rünnaku peamine sihtmärk, mis jätab kõik teised mõjutatud riigid 83 protsendi suuruse osakaaluga varju. Teised mõjutatud riigid on Jaapan, Lõuna-Korea ja Hongkong, Taiwan ja Bangladesh, Filipiinid ning - ainsad kaks idapoolkera riiki - Jamaica ja Jaapan.
Viiruse nakatumise strateegia
Nakatunud Exceli tabelid levitavad viirust Windowsi arvutitesse. Kui tabelarvutus oli avatud, avas see tagaukse arvuti operatsioonisüsteemi. See kasutas DoublePulse'i ärakasutamist, mis lekkis samuti samast partiist kübervahendeid, mis andis ründajatele EternalBlue vektori.
Viirusfailid võivad levida "külgmiselt üle võrkude", kasutades ära Windowsi Server Message Blocki protokolli nõrkust.
Kaevandamise pahavara varastas nakatunud seadmetest ka selliseid andmeid nagu kasutajanimed ja paroolid, et levida teistesse arvutitesse võrgus. Ettevõte avastas Beapy versioonid ka avalikult kasutatavas serveris, kasutades potentsiaalsete ohvrite tabamisloendi loomiseks IP-aadresside nimekirja.
Rohkem tõusu kui varem
Üks silmatorkavamaid järeldusi uuringust on see, et Beapy erineb krüptokaubanduse pahavarast, mida kasutati, kui nakatumised olid 2018. aasta alguses haripunktis.
Need kampaaniad kasutasid suures osas brauseripõhiseid kaevandajaid. Need viirused kasutasid Coinhive'i protokolli, et kaevandada heategevuseks Monero. Seda protokolli kasutasid UNICEF ja teised UNICEFi sarnased saidid. Aruande kohaselt lõpetas Coinhive 2019. aasta märtsis tegevuse Monero järsu languse tõttu karuturul ja krüptokaevandamise pideva vähenemise tõttu.
Beapy ei toetu brauseri kaevandamisele, vaid kasutab selle asemel tulusamat ja keerukamat failide kaevandamise meetodit. Failide kaevandamine on tõhusam kui brauseri kaevandamine ja võib anda suuremat tulu kui brauseri kaevandamine. Näiteks võib selle meetodi keskmine 30-päevane tulu olla viiruse mustanahalistele $750 000. See muudab brauseri kaevandamise tulu $30,000 tühiseks.
Pildi viisakus Symantec
Neville ütles, et failipõhine mündikaevandamine ei ole uus, kuigi see on tõusuteel. See on lihtsalt "viimasel paaril aastal brauseripõhisele krüptomineerimisele alla jäänud", sest see nõuab vähem tehnilisi oskusi.
Ta ütles: "Coinhive'i käivitamine - ja selle valmis skriptid - on seda barjääri veelgi vähendanud."
Arvuti võib ikkagi käivitada brauseri kaevandamist, isegi kui see on viiruse eest kaitstud.
Neville märkis, et on liiga vara teada, kas failipõhine kaevandamine taastub, erinevalt brauseripõhisest. Siiski paraneb tuvastamine ja kaitse Coinminersi vastu, nii et küberkurjategijad hakkavad otsima "alternatiivseid tuluallikaid".
"Kuna küberkurjategijad täiustavad oma taktikat, oleme täheldanud ka seda, et nende lähenemine muutub konkreetsemaks."
Kaitsmine ohu vastu
Aruande lõpus loetletakse krüptojahti nakkuste kõrvalmõjusid, nagu seadme ülekuumenemine, liigne aku tarbimine ja seadme võimalik lagunemine.
Selles kirjeldatakse ka turvameetmeid, mida ettevõtted saavad võtta, et end selliste rünnakute eest kaitsta. Ettevõtted saavad kasutada turvalahendusi riist- ja tarkvara poolel, sealhulgas tulemüürid, haavatavuse hindamine, tugevad paroolid ja mitmefaktoriline autentimine.
Haridus on töötajate jaoks ülioluline. Aruandes õpetatakse õppetunde krüptokaubanduse kohta ja kuidas seda märgata. Paljusid neist punktidest kordas Neville meie kirjavahetuse lõpus.
Ettevõtted peaksid tagama, et töötajaid koolitatakse, et nad oskaksid ära tunda ja teatada neile pahavara saatjate saadetud andmepüügisõnumitest. Samuti peaksid nad rakendama kattuvaid ja teineteist toetavaid kaitsesüsteeme, et kaitsta mis tahes tehnoloogia või kaitsemeetodi ühekordse tõrke eest. See hõlmab lõpp-punkti-, veebi- ja e-posti kaitsetehnoloogiate, tulemüüride ja haavatavuse hindamise lahenduste kasutuselevõttu. Oluline on hoida need turvasüsteemid kõige uuemate kaitsemeetmetega ajakohasena ja tagada, et süsteemid on kaitstud selliste vigastuste nagu EternalBlue eest.