Криптоджекинг - заражение компьютера вредоносным ПО для добычи криптовалюты - вместе с криптоджекингом падают и цены. Вирус и его распространители приспосабливаются, как и любой другой ловкий организм, которому грозит вымирание. По данным Symantec, число случаев криптоджекинга сократилось на 52 процента в период с января 2018 года по январь 2018 года, однако методы доставки, исполнения и нацеливания стали более изощренными.
Systematec
Последний отчет Symantec был посвящен Beapy. Это кампания криптоджекинга, направленная на бизнес и предприятия в Азии. Вирус распространяется по электронной почте с помощью программного эксплойта под названием EternalBlue, разработанного АНБ США. Компания Symantec первой заметила эту угрозу в январе этого года.
В марте вирус заразил более 2 000 устройств, и с тех пор его число постоянно растет.
"Эта кампания показывает, что криптоджекинг менее популярен среди киберпреступников, чем это было на пике в 2018 году, но он все еще является фокусом внимания для некоторых из них, причем предприятия теперь являются их главной целью", - говорится во введении к этому отчету.
График Symantec
В отчете говорится, что 98 процентов заражены вымогательским ПО. Это соответствует тенденциям 2018 года в области атак на вымогательское ПО, когда снижение общего числа угроз было соотнесено с ростом числа заражений, ориентированных на предприятия. Аллан Невилл, аналитик Symantec Threat Intelligence, сказал, что эти атаки могут "[сделать] некоторые устройства неработоспособными из-за высокой загрузки процессора".
Китай является главной мишенью этой атаки, превосходя все остальные затронутые страны с поразительной долей в 83 процента. Среди других пострадавших стран - Япония, Южная Корея и Гонконг, Тайвань и Бангладеш, Филиппины и - единственные две страны из Восточного полушария - Ямайка и Япония.
Стратегия заражения вирусами
Зараженные электронные таблицы Excel распространяли вирус на компьютеры под управлением Windows. После открытия электронной таблицы открывался бэкдор в ОС компьютера. Для этого использовался эксплойт DoublePulse, который также попал в утечку в той же партии кибер-инструментов, которая дала злоумышленникам вектор EternalBlue.
Вирусные файлы могли распространяться "сбоку по сети", используя слабое место в протоколе Server Message Block операционной системы Windows.
Вредоносная программа для майнинга также похищала учетные данные, такие как имена пользователей и пароли, с зараженных устройств, чтобы распространить их на другие компьютеры в сети. Фирма также обнаружила версии Beapy на общедоступном сервере, используя список IP-адресов для создания списка потенциальных жертв.
Больше плюсов, чем раньше
Один из самых поразительных выводов исследования заключается в том, что Beapy отличается от вредоносных программ для криптоджекинга, использовавшихся во время пика заражений в начале 2018 года.
В этих кампаниях в основном использовались браузерные майнеры. Эти вирусы использовали протокол Coinhive для добычи Monero в благотворительных целях. Этот протокол использовался ЮНИСЕФ и другими сайтами, подобными ЮНИСЕФ. В отчете говорится, что Coinhive прекратил свою деятельность в марте 2019 года из-за резкого падения Monero на медвежьем рынке и устойчивого спада криптоджекинга.
Beapy не полагается на браузерный майнинг и вместо этого использует более прибыльный и сложный подход файлового майнинга. Файловый майнинг более эффективен, чем браузерный майнинг, и может принести более высокую прибыль, чем браузерный майнинг. Например, средняя 30-дневная прибыль от этой техники может принести блэкхэтам вируса $750,000. По сравнению с этим доходность браузерного майнинга кажется мизерной - $30 000.
Изображение любезно предоставлено компанией Symantec
Невилл сказал, что файловый коинмайнинг не является чем-то новым, несмотря на то, что он находится на подъеме. Просто в последние пару лет он "уступил место браузерному криптомайнингу", поскольку требует меньше технических навыков.
Он сказал: "Запуск Coinhive - и его готовых скриптов - еще больше снизил этот барьер".
Компьютер может запустить браузерный майнинг, даже если он защищен от вируса.
Невилл заявил, что еще слишком рано говорить о том, будет ли возрождаться файловый майнинг в противовес браузерному. Однако обнаружение и защита от Coinminers будут улучшаться, поэтому киберпреступники начнут искать "альтернативные источники дохода".
"По мере того, как киберпреступники совершенствуют свою тактику, мы также наблюдаем, что их подход становится более специфическим".
Защита от угрозы
В конце отчета перечислены побочные эффекты заражения криптоджекингом, такие как перегрев устройства, чрезмерный расход батареи и возможная деградация устройства.
В нем также описаны меры безопасности, которые компании могут предпринять для защиты от таких атак. Компании могут использовать решения по обеспечению безопасности на аппаратном и программном уровнях, включая брандмауэры, оценку уязвимостей, надежные пароли и многофакторную аутентификацию.
Образование имеет решающее значение для сотрудников. В докладе преподаются уроки о криптоджекинге и о том, как его обнаружить. Многие из этих пунктов были повторены Невиллом в конце нашей переписки.
Предприятия должны обеспечить обучение сотрудников распознаванию и сообщению о фишинговых сообщениях электронной почты, отправленных им доставщиками вредоносных программ. Они также должны внедрить перекрывающиеся и взаимодополняющие защитные системы для защиты от единичных сбоев в любой технологии или методе защиты. Это включает в себя развертывание технологий защиты конечных точек, веб-ресурсов и электронной почты, брандмауэров и решений по оценке уязвимостей. Важно поддерживать эти системы безопасности в актуальном состоянии с помощью самых последних средств защиты и обеспечивать защиту систем от эксплойтов, подобных EternalBlue.