暗号通貨を採掘するためにマルウェアをコンピュータに感染させるクリプトジャッキングは、クリプトジャッキングとともに価格が下落した。ウイルスとその伝播者は、絶滅に直面している他の器用な生物と同じように、適応しているのです。シマンテックによると、クリプトジャッキングのインシデントは2018年1月から52%減少しましたが、配信、実行、ターゲティングの方法はより洗練されたものになってきています。
システマテック
シマンテックの最新レポートでは、Beapyに焦点が当てられています。これは、アジアのビジネスや企業をターゲットにしたクリプトジャッキング・キャンペーンです。このウイルスは、米国のNSAが開発したEternalBlueと呼ばれるソフトウェアエクスプロイトを使用して、電子メール経由で拡散します。シマンテックは、今年1月にこの脅威に最初に気づきました。
このウイルスは、3月に2,000台以上の端末に感染し、その後も順調に増え続けています。
"このキャンペーンは、クリプトジャッキングが2018年のピーク時よりもサイバー犯罪者に人気がないことを示していますが、一部のサイバー犯罪者にとっては依然として焦点となっており、現在では企業が主なターゲットとなっています "と本レポートの序文には記載されています。
シマンテックグラフ
98%がランサムウェアに感染しているとしています。これは、全体の脅威の減少と企業に特化した感染の増加が相関していた、2018年のランサムウェア攻撃の傾向と一致しています。Symantec Threat Intelligence AnalystのAllan Nevilleは、これらの攻撃は""CPU使用率の高さにより一部のデバイスを動作不能にする""可能性があると述べています。
この攻撃の主な標的は中国であり、83%という驚異的なシェアで他のすべての被害国を圧倒しています。その他の国は、日本、韓国、香港、台湾、バングラデシュ、フィリピン、そして東半球では唯一、ジャマイカと日本が影響を受けています。
ウイルス感染戦略
感染したExcelのスプレッドシートは、Windowsコンピュータにウイルスを拡散させる。スプレッドシートを開くと、コンピュータのOSへのバックドアを開くことになる。これはDoublePulseエクスプロイトを利用したもので、攻撃者にEternalBlueベクトルを与えたのと同じバッチサイバーツールの中で流出したものでもあります。
このウイルスファイルは、WindowsのServer Message Blockプロトコルの弱点を突くことで、「ネットワーク上で横方向に」拡散される可能性があります。
また、このマイニングマルウェアは、ネットワーク内の他のコンピュータに拡散するために、感染したデバイスからユーザー名やパスワードなどの認証情報を盗み出すこともありました。同社はまた、IPアドレスのリストを使用して潜在的な被害者のヒットリストを作成し、一般公開されているサーバーにBeapyのバージョンを発見しました。
以前にも増してアップサイド
この研究で最も印象的な発見の1つは、Beapyが2018年初頭に感染がピークに達したときに使用されたクリプトジャッキングマルウェアとは異なるということです。
これらのキャンペーンは、大部分でブラウザベースのマイナーを使用していました。これらのウイルスは、Coinhiveプロトコルを使用して、チャリティーのためにMoneroを採掘していました。このプロトコルは、UNICEFなどのサイトで使用されていました。この報告書では、ベアマーケットでMoneroが急落し、クリプトジャッキングが着実に減少したため、Coinhiveが2019年3月に事業を停止したことが示唆されています。
Beapyは、ブラウザマイニングに頼らず、より有利で複雑なファイルマイニングのアプローチを採用しています。ファイルマイニングは、ブラウザマイニングよりも効率的で、ブラウザマイニングよりも高いリターンを得ることができます。例えば、この手法の平均的な30日間のリターンは、ウイルスのブラックハットに$750,000の利益をもたらす可能性があります。これでは、ブラウザマイニングのリターンは$30,000と微々たるものに見えます。
画像提供:シマンテック
Neville氏によると、ファイルベースのコインマイニングは増加傾向にあるものの、新しいものではないそうです。ただ、技術的なスキルがあまり必要ないため、「ここ数年、ブラウザベースのクリプトマイニングに席を奪われている」のだという。
彼は、"Coinhiveの登場 - そしてその既成のスクリプトは、この障壁をさらに低くした "と述べています。
コンピュータは、ウイルスから保護されていても、ブラウザマイニングを実行することができます。
Neville氏は、ブラウザベースとは対照的に、ファイルベースのマイニングが復活するかどうかを知るのは時期尚早であると述べています。しかし、コインマイナーの検出と保護は改善されるため、サイバー犯罪者は "別の収入源 "を探し始めるだろう。
"サイバー犯罪者がその手口を改善するにつれ、そのアプローチもより具体的になっていくことが観察されています。"
脅威から身を守る
レポートの最後には、デバイスの過熱、バッテリーの過剰消費、デバイスの劣化の可能性など、クリプトジャッキング感染による副作用を列挙しています。
また、このような攻撃から身を守るために、企業が講じるべきセキュリティ対策についても概説しています。企業は、ファイアウォール、脆弱性評価、堅牢なパスワード、多要素認証など、ハードウェアとソフトウェアの両面からセキュリティソリューションを利用することができます。
社員への教育が重要です。この報告書では、クリプトジャッキングとそれを見抜く方法について教訓を与えています。これらの点の多くは、私たちの文通の最後にNevilleが繰り返し述べたものです。
企業は、マルウェア配信事業者から送られてくるフィッシングメールを認識し、報告するための従業員教育を確実に行う必要があります。また、あらゆる技術や保護方法におけるシングルポイント故障から保護するために、重複し、相互にサポートし合う防御システムを導入する必要があります。これには、エンドポイント、Web、電子メール保護技術、ファイアウォール、脆弱性評価ソリューションの導入が含まれる。これらのセキュリティシステムを常に最新の防御策に更新し、EternalBlueのようなエクスプロイトからシステムを確実に保護することが重要である。