Cryptojacking, het besmetten van een computer met malware om cryptocurrency te delven, heeft de prijzen zien dalen samen met cryptojacking. Het virus en zijn verspreiders passen zich aan, net als elk ander behendig organisme dat met uitsterven wordt bedreigd. Volgens Symantec is het aantal cryptojacking-incidenten tussen januari 2018 en januari 2018 met 52 procent gedaald, maar de methoden voor levering, uitvoering en targeting zijn verfijnder geworden.

Systematec

Het meest recente rapport van Symantec richtte zich op Beapy. Dit is een cryptojacking campagne die zich richt op bedrijven en ondernemingen in Azië. Het virus verspreidt zich via e-mail met behulp van een software-exploit genaamd EternalBlue die is ontwikkeld door de NSA van de Verenigde Staten. Symantec merkte de dreiging als eerste op in januari van dit jaar.

Het virus infecteerde in maart meer dan 2.000 apparaten en is sindsdien gestaag blijven toenemen.

"Deze campagne laat zien dat cryptojacking minder populair is bij cybercriminelen dan op het hoogtepunt in 2018, maar het is nog steeds een aandachtspunt voor sommigen van hen, waarbij bedrijven nu hun primaire doelwit zijn," staat in de inleiding van dit rapport.

Symantec grafiek

In het rapport staat dat 98 procent besmet is met ransomware. Dit is consistent met de trends van 2018 in ransomware-aanvallen, waarbij een afname in algemene dreigingen werd gecorreleerd met een toename van bedrijfsgerichte infecties. Allan Neville, Symantec Threat Intelligence Analyst, zegt dat deze aanvallen "[sommige] apparaten onbruikbaar kunnen maken als gevolg van hoog CPU-gebruik."

China is het belangrijkste doelwit van deze aanval en doet alle andere getroffen landen in de schaduw staan met een verbijsterend aandeel van 83%. Andere getroffen landen zijn Japan, Zuid-Korea en Hongkong, Taiwan en Bangladesh, de Filipijnen en - de enige twee van het oostelijk halfrond - Jamaica en Japan.

  Wat zijn de juridische aspecten van Crypto Arbitrage?

Virus Infectie Strategie

Geïnfecteerde Excel-spreadsheets verspreidden het virus naar Windows-computers. Zodra de spreadsheet werd geopend, opende het een achterdeur naar het besturingssysteem van de computer. Het maakte gebruik van de DoublePulse exploit, die ook uitlekte in dezelfde partij cybertools die aanvallers de EternalBlue vector bezorgde.

De virusbestanden konden "zijdelings over netwerken" worden verspreid door misbruik te maken van een zwakke plek in het Server Message Block-protocol van Windows.

De mining-malware stal ook referenties zoals gebruikersnamen en wachtwoorden van geïnfecteerde apparaten om zich naar andere computers binnen een netwerk te verspreiden. Het bedrijf ontdekte ook Beapy-versies op een openbaar toegankelijke server door met behulp van een lijst IP-adressen een hitlijst van potentiële slachtoffers te maken.

Meer winst dan voorheen

Een van de meest opvallende bevindingen uit het onderzoek is dat Beapy verschilt van de cryptojacking-malware die werd gebruikt toen de infecties begin 2018 op hun hoogtepunt waren.

Deze campagnes maakten voor een groot deel gebruik van browser-gebaseerde miners. Deze virussen gebruikten het Coinhive protocol om Monero te delven voor het goede doel. Dit protocol werd gebruikt door UNICEF en andere sites zoals UNICEF. Het rapport suggereert dat Coinhive zijn activiteiten in maart 2019 heeft stilgelegd als gevolg van de scherpe daling van Monero in de bearmarkt en een gestage daling van cryptojacking.

Beapy vertrouwt niet op browsermijnbouw en gebruikt in plaats daarvan een lucratievere en complexere aanpak van bestandsmijnbouw. File mining is efficiënter dan browser mining en kan een hoger rendement opleveren dan browser mining. De gemiddelde 30-daagse opbrengst van deze techniek kan de blackhats van het virus bijvoorbeeld $750,000 opleveren. Hierdoor lijkt het rendement van browser mining met $30,000 schamel.

Afbeelding met dank aan Symantec

Neville zei dat file-based coinmining niet nieuw is, ondanks dat het in opkomst is. Het is gewoon "een plaatsje teruggenomen ten opzichte van browser-gebaseerde cryptomining de laatste paar jaar" omdat het minder technische vaardigheid vereist.

  Welk probleem heeft Ethereum met de gasprijzen?

Hij zei: "De lancering Coinhive - en zijn kant-en-klare scripts - heeft deze drempel nog meer verlaagd."

Een computer kan nog steeds browser mining uitvoeren, ook al is hij tegen het virus beschermd.

Neville verklaarde dat het te vroeg is om te weten of er een heropleving zal zijn van file-based mining in tegenstelling tot browser-based. Detectie en bescherming tegen Coinminers zullen echter verbeteren, zodat cybercriminelen op zoek zullen gaan naar "alternatieve inkomstenstromen".

"Naarmate cybercriminelen hun tactieken verbeteren, zien we ook dat hun aanpak specifieker wordt."

Verdediging tegen de dreiging

Het rapport besluit met een opsomming van neveneffecten van cryptojacking-infecties, zoals oververhitting van het toestel, overmatig batterijverbruik en mogelijke beschadiging van het toestel.

Ook wordt aangegeven welke beveiligingsmaatregelen bedrijven kunnen nemen om zich tegen dergelijke aanvallen te beschermen. Bedrijven kunnen gebruik maken van beveiligingsoplossingen aan hardware- en softwarekant, waaronder firewalls, kwetsbaarheidsbeoordelingen, robuuste wachtwoorden en multifactorauthenticatie.

Educatie is van cruciaal belang voor werknemers. In het rapport wordt lesgegeven over cryptojacking en hoe het te herkennen. Veel van deze punten werden herhaald door Neville aan het eind van onze correspondentie.

Bedrijven moeten ervoor zorgen dat werknemers worden opgeleid om phishing-e-mail te herkennen en te melden die hen door malwareverzenders wordt toegestuurd. Ze moeten ook overlappende en elkaar ondersteunende verdedigingssystemen implementeren om bescherming te bieden tegen single-point storingen in elke technologie of beschermingsmethode. Dit omvat de inzet van endpoint-, web- en e-mailbeschermingstechnologieën, firewalls en oplossingen voor kwetsbaarheidsbeoordeling. Het is belangrijk om deze beveiligingssystemen up-to-date te houden met de meest recente beveiligingen en om ervoor te zorgen dat systemen beschermd zijn tegen exploits zoals EternalBlue.