加密货币劫持,即用恶意软件感染计算机来挖掘加密货币,价格与加密货币劫持一起下降。病毒及其传播者正在适应,就像任何其他面临灭绝的灵巧的生物。根据赛门铁克的数据,在2018年1月和2018年1月之间,加密劫持事件下降了52%,但交付、执行和目标方法变得更加复杂。
体系化技术
赛门铁克最近的报告重点关注Beapy。这是一个针对亚洲商业和企业的加密劫持活动。该病毒通过电子邮件传播,使用一个名为EternalBlue的软件漏洞,该漏洞是由美国国家安全局开发的。赛门铁克在今年1月首先注意到了这种威胁。
该病毒在3月份感染了超过2000台设备,此后继续稳步上升。
"这次活动表明,与2018年的高峰期相比,加密劫持在网络犯罪分子中不那么受欢迎了,但它仍然是一些犯罪分子的焦点,企业现在是他们的主要目标,"这份报告的导言指出。
赛门铁克图表
报告指出,98%的人受到勒索软件的感染。这与2018年勒索软件攻击的趋势一致,总体威胁的减少与以企业为重点的感染的增加相关联。赛门铁克威胁情报分析师Allan Neville说,这些攻击可以 "由于高CPU使用率而使一些设备无法运行"。
中国是这次攻击的主要目标,以惊人的83%的份额使所有其他受影响的国家相形见绌。其他受影响的国家包括日本、韩国和香港、台湾和孟加拉国、菲律宾,以及--唯一两个来自东半球的国家--牙买加和日本。
病毒感染的策略
受感染的Excel电子表格将病毒传播到Windows电脑。一旦电子表格被打开,它将为计算机的操作系统打开一个后门。它利用了DoublePulse漏洞,该漏洞也在给攻击者提供EternalBlue载体的同一批网络工具中被泄露。
病毒文件可以通过利用Windows的服务器信息块协议中的一个弱点,"在网络上横向传播"。
采矿恶意软件还从受感染的设备中窃取用户名和密码等凭证,以便传播到网络中的其他计算机。该公司还通过使用列表中的IP地址来创建潜在受害者的打击名单,在面向公众的服务器上发现了Beapy版本。
比以前更有上升空间
该研究最引人注目的发现之一是,Beapy与2018年初感染高峰时使用的加密劫持恶意软件不同。
这些活动在很大程度上使用了基于浏览器的矿工。这些病毒使用Coinhive协议,为慈善事业挖掘Monero。这个协议被联合国儿童基金会和其他类似联合国儿童基金会的网站使用。报告表明,由于Monero在熊市中急剧下降,以及加密货币劫持的稳步下降,Coinhive在2019年3月关闭了运营。
Beapy不依赖浏览器挖矿,而是采用更有利可图和复杂的文件挖矿方法。文件挖掘比浏览器挖掘更有效,可以产生比浏览器挖掘更高的回报。例如,这种技术的平均30天回报可以为病毒的黑客们带来$750,000的净收入。这使得浏览器挖矿的回报显得微不足道,只有$30,000。
图片来源:赛门铁克
内维尔说,基于文件的挖币活动并不新鲜,尽管它正在上升。它只是 "在过去的几年里,比基于浏览器的加密开采退居二线",因为它需要较少的技术技能。
他说:"推出Coinhive--及其现成的脚本--更加降低了这一障碍。"
一台计算机即使受到病毒的保护,仍然可以运行浏览器挖矿。
内维尔表示,相对于基于浏览器的挖矿,现在知道基于文件的挖矿是否会重新出现还为时尚早。然而,对Coinminers的检测和保护将得到改善,因此网络犯罪分子将开始寻找 "其他收入来源"。
"随着网络犯罪分子改进他们的战术,我们也观察到,他们的方法变得更加具体。"
抵御威胁
报告最后列出了加密劫持感染的副作用,如设备过热、电池过度消耗和可能的设备退化。
它还概述了公司可以采取的安全措施,以保护自己免受此类攻击。公司可以在硬件和软件方面使用安全解决方案,包括防火墙、漏洞评估、强大的密码和多因素认证。
教育对员工来说是至关重要的。该报告讲授了关于加密劫持和如何发现它的课程。在我们通信的最后,Neville重申了其中的许多观点。
企业应确保对员工进行培训,以识别和报告由恶意软件发送者发送给他们的网络钓鱼邮件。他们还应该实施相互重叠和相互支持的防御系统,以防止任何技术或保护方法出现单点故障。这包括部署端点、网络和电子邮件保护技术、防火墙和漏洞评估解决方案。重要的是,要让这些安全系统保持最新的保护措施,并确保系统免受EternalBlue等漏洞的影响。