Cryptojacking, komputer yang terinfeksi malware untuk menambang mata uang kripto, telah mengalami penurunan harga seiring dengan cryptojacking. Virus dan penyebarnya sedang beradaptasi, seperti organisme cekatan lainnya yang menghadapi kepunahan. Menurut Symantec, insiden cryptojacking turun 52 persen antara Januari 2018 dan Januari 2018, tetapi metode pengiriman, eksekusi, dan penargetan menjadi lebih canggih.
Systematec
Laporan terbaru Symantec berfokus pada Beapy. Ini adalah kampanye cryptojacking yang menargetkan bisnis dan perusahaan di Asia. Virus ini menyebar melalui email menggunakan eksploitasi perangkat lunak yang disebut EternalBlue yang dikembangkan oleh NSA Amerika Serikat. Symantec pertama kali melihat ancaman ini pada bulan Januari tahun ini.
Virus ini menginfeksi lebih dari 2.000 perangkat pada bulan Maret, dan terus meningkat sejak saat itu.
"Kampanye ini menunjukkan bahwa cryptojacking kurang populer di kalangan penjahat siber dibandingkan dengan puncaknya pada tahun 2018, tetapi masih menjadi titik fokus bagi beberapa dari mereka, dengan bisnis sekarang menjadi target utama mereka," kata pengantar laporan ini.
Grafik Symantec
Laporan tersebut menyatakan bahwa 98 persen terinfeksi oleh ransomware. Hal ini konsisten dengan tren 2018 dalam serangan ransomware, di mana penurunan ancaman secara keseluruhan berkorelasi dengan peningkatan infeksi yang berfokus pada perusahaan. Allan Neville, Analis Intelijen Ancaman Symantec, mengatakan bahwa serangan-serangan ini dapat "[membuat] beberapa perangkat tidak dapat dioperasikan karena penggunaan CPU yang tinggi."
China adalah target utama serangan ini, mengerdilkan semua negara lain yang terkena dampak dengan pangsa 83 persen yang mencengangkan. Negara-negara lain yang terkena dampaknya termasuk Jepang, Korea Selatan dan Hong Kong, Taiwan dan Bangladesh, Filipina, dan - satu-satunya dua dari Belahan Bumi Timur - Jamaika dan Jepang.
Strategi Infeksi Virus
Spreadsheet Excel yang terinfeksi menyebarkan virus ke komputer Windows. Setelah spreadsheet dibuka, virus ini akan membuka backdoor ke OS komputer. Virus ini memanfaatkan eksploitasi DoublePulse, yang juga dibocorkan dalam kumpulan alat siber yang sama yang memberi penyerang vektor EternalBlue.
File-file virus dapat disebarkan "secara lateral di seluruh jaringan" dengan mengeksploitasi kelemahan dalam protokol Server Message Block Windows.
Malware penambangan juga mencuri kredensial seperti nama pengguna dan kata sandi dari perangkat yang terinfeksi untuk menyebar ke komputer lain dalam jaringan. Perusahaan juga menemukan versi Beapy pada server yang menghadap publik dengan menggunakan daftar alamat IP untuk membuat daftar korban potensial.
Lebih banyak keuntungan dari sebelumnya
Salah satu temuan paling mencolok dari penelitian ini adalah bahwa Beapy berbeda dari malware cryptojacking yang digunakan ketika infeksi berada pada puncaknya pada awal 2018.
Kampanye ini sebagian besar menggunakan penambang berbasis browser. Virus-virus ini menggunakan protokol Coinhive untuk menambang Monero untuk amal. Protokol ini digunakan oleh UNICEF dan situs lain seperti UNICEF. Laporan tersebut menunjukkan bahwa Coinhive menutup operasinya pada bulan Maret 2019 karena penurunan tajam Monero di pasar bearish dan penurunan cryptojacking yang stabil.
Beapy tidak bergantung pada browser mining dan sebagai gantinya menggunakan pendekatan penambangan file yang lebih menguntungkan dan kompleks. Penambangan file lebih efisien daripada penambangan peramban dan dapat menghasilkan keuntungan yang lebih tinggi daripada penambangan peramban. Misalnya, rata-rata pengembalian 30 hari pada teknik ini dapat menjaring blackhats virus $750.000. Hal ini membuat keuntungan dari penambangan peramban tampak remeh pada $30.000.
Gambar milik Symantec
Neville mengatakan bahwa coinmining berbasis file bukanlah hal baru, meskipun sedang meningkat. Itu hanya "mengambil kembali kursi ke cryptomining berbasis browser beberapa tahun terakhir" karena membutuhkan lebih sedikit keterampilan teknis.
Dia berkata, "Peluncuran Coinhive - dan skripnya yang sudah jadi - telah menurunkan penghalang ini lebih banyak lagi."
Komputer masih dapat menjalankan browser mining meskipun sudah terlindungi dari virus.
Neville menyatakan bahwa masih terlalu dini untuk mengetahui apakah akan ada kebangkitan penambangan berbasis file dibandingkan dengan berbasis browser. Namun, deteksi dan perlindungan terhadap Coinminers akan meningkat, sehingga penjahat siber akan mulai mencari "aliran pendapatan alternatif."
"Saat penjahat siber meningkatkan taktik mereka, kami juga mengamati bahwa pendekatan mereka menjadi lebih spesifik."
Bertahan melawan Ancaman
Laporan ini diakhiri dengan mencantumkan efek samping infeksi cryptojacking seperti perangkat yang terlalu panas, konsumsi baterai yang berlebihan, dan kemungkinan degradasi perangkat.
Ini juga menguraikan langkah-langkah keamanan yang bisa diambil perusahaan untuk melindungi diri mereka sendiri terhadap serangan semacam itu. Perusahaan bisa menggunakan solusi keamanan pada sisi perangkat keras dan perangkat lunak, termasuk firewall, penilaian kerentanan, kata sandi yang tangguh, dan autentikasi multi-faktor.
Pendidikan sangat penting bagi karyawan. Laporan ini mengajarkan pelajaran tentang cryptojacking dan cara mengetahuinya. Banyak dari poin-poin ini diulangi oleh Neville di akhir korespondensi kami.
Bisnis harus memastikan bahwa karyawan dilatih untuk mengenali dan melaporkan email phishing yang dikirimkan kepada mereka oleh pengirim malware. Mereka juga harus mengimplementasikan sistem pertahanan yang tumpang tindih dan saling mendukung untuk melindungi dari kegagalan satu titik dalam teknologi atau metode perlindungan apa pun. Ini mencakup penyebaran teknologi perlindungan titik akhir, web, dan email, firewall, dan solusi penilaian kerentanan. Penting untuk menjaga sistem keamanan ini tetap mutakhir dengan perlindungan terbaru dan untuk memastikan bahwa sistem dilindungi terhadap eksploitasi seperti EternalBlue.