A kriptodzsarolás, a kriptopénz bányászatához szükséges rosszindulatú szoftverrel fertőzött számítógép, a kriptodzsarolással együtt az árak is csökkentek. A vírus és terjesztői alkalmazkodnak, akárcsak bármely más, kihalással fenyegető, ügyes élőlény. A Symantec szerint 2018 januárja és 2018 januárja között 52 százalékkal csökkentek a kriptodzsákolási incidensek, de a terjesztési, végrehajtási és célzási módszerek kifinomultabbá váltak.
Systematec
A Symantec legutóbbi jelentése a Beapy-ra összpontosított. Ez egy kriptodézsmakampány, amely ázsiai üzleti és vállalati célpontokat vesz célba. A vírus e-mailben terjed az EternalBlue nevű szoftveres exploit segítségével, amelyet az Egyesült Államok NSA fejlesztett ki. A Symantec idén januárban vette észre először a fenyegetést.
A vírus márciusban több mint 2000 eszközt fertőzött meg, és azóta folyamatosan növekszik.
"Ez a kampány azt mutatja, hogy a kriptodézsmázás kevésbé népszerű a kiberbűnözők körében, mint a 2018-as csúcspontján volt, de még mindig a középpontban van néhányuk számára, és most a vállalkozások az elsődleges célpontjuk" - áll a jelentés bevezetőjében.
Symantec grafikon
A jelentés szerint 98 százalékuk zsarolóprogrammal fertőzött. Ez összhangban van a zsarolóvírus-támadások 2018-as tendenciáival, ahol az általános fenyegetések csökkenése a vállalati célú fertőzések növekedésével járt együtt. Allan Neville, a Symantec Threat Intelligence elemzője szerint ezek a támadások "[a] magas CPU-használat miatt működésképtelenné tehetnek egyes eszközöket".
A támadás fő célpontja Kína, amely az összes többi érintett ország mellett eltörpül a maga elképesztő, 83 százalékos arányával. A többi érintett ország Japán, Dél-Korea és Hongkong, Tajvan és Banglades, a Fülöp-szigetek, valamint - a keleti féltekéről egyedüliként - Jamaica és Japán.
Vírusfertőzési stratégia
A fertőzött Excel táblázatok terjesztik a vírust a Windows számítógépeken. Ha a táblázatot megnyitották, az egy hátsó ajtót nyitott a számítógép operációs rendszerébe. A DoublePulse exploitot használta fel, amely szintén kiszivárgott ugyanabban a kötegben kibereszközökkel, amelyek a támadóknak az EternalBlue vektort adták.
A vírusfájlok a Windows Server Message Block protokolljának gyengeségét kihasználva "oldalirányban terjedhetnek a hálózatokon keresztül".
A bányászati kártevő olyan hitelesítő adatokat is ellopott a fertőzött eszközökről, mint a felhasználónevek és jelszavak, hogy a hálózaton belül más számítógépekre is átterjedjen. A cég egy nyilvános szerveren lévő Beapy-verziókat is felfedezett egy IP-címekből álló lista segítségével, hogy létrehozza a potenciális áldozatok találati listáját.
Több felfelé ívelő oldal, mint korábban
A tanulmány egyik legszembetűnőbb megállapítása az, hogy a Beapy különbözik a 2018 eleji csúcson lévő fertőzések idején használt kriptodézeres kártevőktől.
Ezek a kampányok nagyrészt böngészőalapú bányászokat használtak. Ezek a vírusok a Coinhive protokollt használták a Monero bányászatához jótékonysági célokra. Ezt a protokollt az UNICEF és más, az UNICEF-hez hasonló webhelyek használták. A jelentés szerint a Coinhive 2019 márciusában leállította működését a Monero medvepiacon bekövetkezett meredek visszaesése és a kriptodézsmázás folyamatos csökkenése miatt.
A Beapy nem támaszkodik a böngészőbányászatra, ehelyett egy jövedelmezőbb és összetettebb fájlbányászati megközelítést alkalmaz. A fájlbányászat hatékonyabb, mint a böngészőbányászat, és nagyobb hozamot hozhat, mint a böngészőbányászat. Ennek a technikának az átlagos 30 napos hozama például $750 000 dollárt hozhat a vírus feketekalaposainak. A böngészőbányászat hozama így csekélynek tűnik, $30,000.
A kép a Symantec jóvoltából
Neville elmondta, hogy a fájlalapú coinmining nem új keletű, annak ellenére, hogy egyre inkább terjed. Csak "az elmúlt néhány évben visszaszorult a böngészőalapú kriptomininghez képest", mert kevesebb technikai tudást igényel.
Azt mondta: "A Coinhive elindítása - és a kész szkriptek - még inkább csökkentette ezt az akadályt."
A számítógép akkor is futtathat böngészőbányászatot, ha védve van a vírus ellen.
Neville kijelentette, hogy még túl korai lenne tudni, hogy a böngészőalapú bányászat helyett a fájlalapú bányászat újjáéled-e majd. A Coinminerek elleni észlelés és védelem azonban javulni fog, így a kiberbűnözők "alternatív bevételi források" után fognak nézni.
"Ahogy a kiberbűnözők javítják a taktikájukat, azt is megfigyeltük, hogy a megközelítésük egyre specifikusabbá válik."
Védekezés a fenyegetés ellen
A jelentés a kriptodzseki fertőzések mellékhatásainak felsorolásával zárul, mint például a készülék túlmelegedése, túlzott akkumulátor-fogyasztás és a készülék esetleges károsodása.
A jelentés felvázolja azokat a biztonsági intézkedéseket is, amelyeket a vállalatok az ilyen támadások elleni védekezés érdekében hozhatnak. A vállalatok hardveres és szoftveres oldalon egyaránt használhatnak biztonsági megoldásokat, többek között tűzfalakat, sebezhetőségi felméréseket, robusztus jelszavakat és többfaktoros hitelesítést.
Az oktatás kulcsfontosságú a munkavállalók számára. A jelentés leckéket tanít a kriptodézsmáról és arról, hogyan lehet felismerni azt. Neville levelezésünk végén számos ilyen pontot megismételt.
A vállalkozásoknak biztosítaniuk kell, hogy az alkalmazottak képzést kapjanak a rosszindulatú szoftverek terjesztői által küldött adathalász e-mailek felismerésére és jelentésére. Emellett átfedő és egymást támogató védelmi rendszereket kell bevezetniük, hogy védelmet nyújtsanak bármely technológia vagy védelmi módszer egyetlen ponton bekövetkező hibája ellen. Ez magában foglalja a végpont-, webes és e-mail védelmi technológiák, tűzfalak és sebezhetőségi értékelő megoldások telepítését. Fontos, hogy ezeket a biztonsági rendszereket naprakészen tartsák a legfrissebb védelemmel, és biztosítsák, hogy a rendszerek védve legyenek az olyan exploitok ellen, mint az EternalBlue.