Criptojacking-ul, adică infectarea calculatoarelor cu programe malware pentru a extrage criptomonede, a înregistrat o scădere a prețurilor odată cu criptojacking-ul. Virusul și propagatorii săi se adaptează, la fel ca orice alt organism îndemânatic care se confruntă cu dispariția. Potrivit Symantec, incidentele de cryptojacking au scăzut cu 52% între ianuarie 2018 și ianuarie 2018, dar metodele de livrare, execuție și direcționare au devenit mai sofisticate.
Systematec
Cel mai recent raport al Symantec s-a concentrat pe Beapy. Aceasta este o campanie de cryptojacking care vizează afacerile și întreprinderile din Asia. Virusul se răspândește prin e-mail folosind un exploit software numit EternalBlue, care a fost dezvoltat de NSA din Statele Unite. Symantec a fost primul care a observat amenințarea în luna ianuarie a acestui an.
Virusul a infectat peste 2.000 de dispozitive în luna martie și a continuat să crească constant de atunci.
"Această campanie arată că cryptojacking-ul este mai puțin popular printre infractorii cibernetici decât a fost la apogeul din 2018, dar este încă un punct central pentru unii dintre ei, întreprinderile fiind acum ținta lor principală", se arată în introducerea acestui raport.
Symantec Graph
Raportul precizează că 98% dintre acestea sunt infectate de ransomware. Acest lucru este în concordanță cu tendințele din 2018 în ceea ce privește atacurile ransomware, unde o scădere a amenințărilor generale a fost corelată cu o creștere a infecțiilor axate pe întreprinderi. Allan Neville, analist Symantec Threat Intelligence, a declarat că aceste atacuri pot "[face] unele dispozitive nefuncționale din cauza utilizării ridicate a procesorului".
China este principala țintă a acestui atac, depășind toate celelalte țări afectate cu o cotă uimitoare de 83%. Printre celelalte țări afectate se numără Japonia, Coreea de Sud și Hong Kong, Taiwan și Bangladesh, Filipine și - singurele două din emisfera estică - Jamaica și Japonia.
Strategia de infectare a virusului
Foile de calcul Excel infectate răspândesc virusul pe calculatoarele cu Windows. Odată ce foaia de calcul era deschisă, aceasta deschidea o ușă de acces la sistemul de operare al computerului. Acesta se folosea de exploatarea DoublePulse, care a fost, de asemenea, dezvăluită în același lot de instrumente cibernetice care le-a oferit atacatorilor vectorul EternalBlue.
Fișierele virusului puteau fi răspândite "lateral în rețele" prin exploatarea unei slăbiciuni a protocolului Server Message Block din Windows.
De asemenea, malware-ul minier a furat credențiale, cum ar fi numele de utilizator și parolele de pe dispozitivele infectate, pentru a se răspândi la alte computere din cadrul unei rețele. Firma a descoperit, de asemenea, versiuni Beapy pe un server cu acces public, folosind o listă de adrese IP pentru a crea o listă de victime potențiale.
Mai multe avantaje decât înainte
Una dintre cele mai izbitoare constatări ale studiului este că Beapy diferă de malware-ul de cryptojacking folosit atunci când infecțiile au atins vârful la începutul anului 2018.
Aceste campanii au folosit în mare parte mineri pe bază de browser. Acești viruși au folosit protocolul Coinhive pentru a mina Monero în scopuri caritabile. Acest protocol a fost folosit de UNICEF și de alte site-uri precum UNICEF. Raportul sugerează că Coinhive și-a încetat operațiunile în martie 2019 din cauza declinului puternic al Monero pe piața bear și a unui declin constant al criptojacking-ului.
Beapy nu se bazează pe extragerea din browser, ci folosește o abordare mai profitabilă și mai complexă de extragere a fișierelor. Mineritul de fișiere este mai eficient decât mineritul de browsere și poate aduce un randament mai mare decât acesta. De exemplu, randamentul mediu pe 30 de zile al acestei tehnici ar putea aduce un câștig de $750.000 de euro pentru "blackhats" virusului. Acest lucru face ca randamentul mineritului din browser să pară neînsemnat, de $30.000.
Pentru imagine, mulțumim Symantec
Neville a spus că minarea de monede pe bază de fișiere nu este ceva nou, deși este în creștere. Doar că "a luat locul criptomineriei bazate pe browser în ultimii doi ani", deoarece necesită mai puține abilități tehnice.
El a spus: "Lansarea Coinhive - și scripturile sale gata făcute - a redus și mai mult această barieră."
Un computer poate continua să ruleze browser mining chiar dacă este protejat împotriva virusului.
Neville a declarat că este prea devreme pentru a ști dacă va exista o revenire a mineritului bazat pe fișiere, spre deosebire de cel bazat pe browser. Cu toate acestea, detectarea și protecția împotriva Coinminers se va îmbunătăți, astfel încât infractorii cibernetici vor începe să caute "surse alternative de venituri".
"Pe măsură ce infractorii cibernetici își îmbunătățesc tacticile, am observat, de asemenea, că abordarea lor devine mai specifică."
Apărarea împotriva amenințării
Raportul se încheie prin enumerarea efectelor secundare ale infecțiilor de cryptojacking, cum ar fi supraîncălzirea dispozitivului, consumul excesiv de baterie și posibila degradare a dispozitivului.
De asemenea, prezintă măsurile de securitate pe care le pot lua companiile pentru a se proteja împotriva unor astfel de atacuri. Companiile pot utiliza soluții de securitate la nivel hardware și software, inclusiv firewall-uri, evaluări ale vulnerabilităților, parole robuste și autentificare cu mai mulți factori.
Educația este esențială pentru angajați. Raportul predă lecții despre criptojacking și despre cum să îl detectezi. Multe dintre aceste puncte au fost reiterate de Neville la sfârșitul corespondenței noastre.
Întreprinderile ar trebui să se asigure că angajații sunt instruiți să recunoască și să raporteze e-mailurile de phishing care le sunt trimise de către distribuitorii de malware. De asemenea, acestea ar trebui să implementeze sisteme defensive care se suprapun și se susțin reciproc pentru a se proteja împotriva eșecurilor cu un singur punct în orice tehnologie sau metodă de protecție. Acest lucru include implementarea tehnologiilor de protecție a punctelor finale, web și de e-mail, a firewall-urilor și a soluțiilor de evaluare a vulnerabilităților. Este important ca aceste sisteme de securitate să fie actualizate cu cele mai recente protecții și să se asigure că sistemele sunt protejate împotriva exploatărilor precum EternalBlue.