Разом з криптоджекінгом, тобто зараженням комп'ютера шкідливим програмним забезпеченням для видобутку криптовалюти, впали і ціни на криптовалюту. Вірус та його розповсюджувачі адаптуються, як і будь-який інший спритний організм, якому загрожує вимирання. За даними Symantec, з січня 2018 року по січень 2018 року кількість інцидентів криптоджекінгу знизилася на 52 відсотки, але методи доставки, виконання і націлювання стали більш витонченими.
Systematec
Останній звіт Symantec був присвячений Beapy. Це кампанія з викрадення криптографічних даних, спрямована на бізнес та підприємства в Азії. Вірус поширюється електронною поштою за допомогою програмної уразливості під назвою EternalBlue, розробленої АНБ США. Компанія Symantec першою помітила загрозу в січні цього року.
У березні вірус інфікував понад 2 000 пристроїв, і з того часу його кількість продовжує неухильно зростати.
"Ця кампанія показує, що криптозлом менш популярний серед кіберзлочинців, ніж це було на піку в 2018 році, але він все ще залишається в центрі уваги деяких з них, а підприємства зараз є їх основною метою", - йдеться у вступі до цього звіту.
Symantec Graph
У звіті зазначається, що 98% інфікованих комп'ютерів заражені програмами-здирниками. Це відповідає тенденціям 2018 року щодо атак з вимогою викупу, коли зменшення загальної кількості загроз корелювало зі збільшенням кількості інфекцій, орієнтованих на підприємства. Аллан Невілл, аналітик Symantec Threat Intelligence, зазначив, що ці атаки можуть "вивести з ладу деякі пристрої через високе навантаження на процесор".
Китай є головною мішенню цієї атаки, затьмарюючи усі інші постраждалі країни з вражаючою часткою в 83 відсотки. Серед інших постраждалих країн - Японія, Південна Корея і Гонконг, Тайвань і Бангладеш, Філіппіни і - єдині дві країни зі Східної півкулі - Ямайка і Японія.
Стратегія боротьби з вірусними інфекціями
Заражені електронні таблиці Excel поширювали вірус на комп'ютери з ОС Windows. Після відкриття таблиці відкривався "чорний хід" до операційної системи комп'ютера. Він використовував експлойт DoublePulse, який також був витоком у тому ж пакеті кіберінструментів, що надав зловмисникам вектор EternalBlue.
Вірусні файли могли поширюватися "латерально по мережах", використовуючи слабкість у протоколі Windows Server Message Block.
Шкідливе програмне забезпечення для майнінгу також викрадало облікові дані, такі як імена користувачів та паролі, з інфікованих пристроїв, щоб поширюватися на інші комп'ютери в мережі. Фірма також виявила версії Beapy на загальнодоступному сервері, використовуючи список IP-адрес для створення списку потенційних жертв.
Потенціалу більше, ніж раніше
Одним з найбільш вражаючих висновків дослідження є те, що Beapy відрізняється від шкідливого програмного забезпечення для криптоджекінгу, яке використовувалося під час піку інфекцій на початку 2018 року.
У цих кампаніях здебільшого використовувалися браузерні майнери. Ці віруси використовували протокол Coinhive для видобутку Monero на благодійні цілі. Цей протокол використовувався ЮНІСЕФ та іншими сайтами, подібними до ЮНІСЕФ. У звіті йдеться про те, що Coinhive припинив свою діяльність у березні 2019 року через різке падіння Monero на ведмежому ринку та постійне зменшення кількості криптоджекінгу.
Beapy не покладається на браузерний майнінг і замість цього використовує більш прибутковий і складний підхід до файлового майнінгу. Файловий майнінг є більш ефективним, ніж браузерний, і може приносити більший прибуток, ніж браузерний майнінг. Наприклад, середній 30-денний прибуток від цього методу може скласти $750 000 доларів США для "чорних капелюхів" вірусу. Це робить прибуток від браузерного майнінгу мізерним - $30 000.
Зображення надано Symantec
Невілл зазначив, що файлова криптовалюта не є новою, незважаючи на те, що вона перебуває на підйомі. Він просто "поступився місцем браузерному криптомайнінгу в останні пару років", оскільки вимагає менших технічних навичок.
Він сказав: "Запуск Coinhive - і його готових скриптів - ще більше знизив цей бар'єр".
Комп'ютер все одно може запускати браузерний майнінг, навіть якщо він захищений від вірусу.
Невілл зазначив, що поки що зарано говорити про те, чи буде відродження файлового майнінгу на противагу браузерному. Однак, виявлення та захист від майнерів покращиться, тому кіберзлочинці почнуть шукати "альтернативні джерела доходу".
"По мірі того, як кіберзлочинці вдосконалюють свою тактику, ми також спостерігаємо, що їхній підхід стає все більш специфічним".
Захист від загрози
У звіті перераховані побічні ефекти криптоджекінгових інфекцій, такі як перегрів пристрою, надмірне споживання батареї та можлива деградація пристрою.
У ньому також окреслюються заходи безпеки, які компанії можуть вжити для захисту від таких атак. Компанії можуть використовувати рішення з безпеки на апаратному та програмному рівні, включаючи брандмауери, оцінку вразливостей, надійні паролі та багатофакторну автентифікацію.
Освіта має вирішальне значення для працівників. У звіті викладаються уроки про криптоджекінг і про те, як його виявити. Багато з цих пунктів були повторені Невілом наприкінці нашого листування.
Компанії повинні забезпечити навчання співробітників розпізнаванню та повідомленню про фішингові електронні листи, що надсилаються їм постачальниками шкідливого програмного забезпечення. Вони також повинні впровадити перекриваючі та взаємопідтримуючі захисні системи для захисту від одномоментних збоїв у будь-якій технології або методі захисту. Це включає розгортання технологій захисту кінцевих точок, Інтернету та електронної пошти, брандмауерів та рішень для оцінки вразливостей. Важливо підтримувати ці системи безпеки в актуальному стані, використовуючи найновіші засоби захисту, і забезпечувати захист систем від експлойтів, подібних до EternalBlue.