Cryptojacking - czym jest, jak go unikać i jak się go pozbyć?

Cyberprzestępcy używają ataków typu ransomware w celu zainfekowania stron i komputerów, aby wykorzystywać je do kopania kryptowalut. Jak można tego uniknąć?


Cryptojacking - co to jest?

Cryptojacking to nieautoryzowany dostęp do czyjegoś komputera, dokonywany w celu wykorzystania jego zasobów sprzętowych do kopania kryptowaluty. Hakerzy dokonują ataków tego typu poprzez skłonienie ofiary do kliknięcia w złośliwy link - może znajdować się on w e-mailu lub na zainfekowanej stronie internetowej, a także w reklamie wykorzystującej JavaScript, który umożliwia automatyczne wykonanie kodu w przeglądarce ofiary. Po kliknięciu pobierany jest na maszynę kod cryptominingu. Niezależnie od sposobu infekcji, kod "kopacza" (cryptominer) zaczyna pracować w tle, a niczego nie podejrzewający użytkownik normalnie korzysta z komputera. Jednak może zaobserwować, że jego działanie jest wyraźnie spowolnione w kazdym aspekcie - od przeglądania stron internetowych po uruchamianie aplikacji. Zazwyczaj w takiej sytuacji czyści się system którymś z programów (CCleaner, Glary Utilities, itp.), jednak nawet po tym nic się nie zmienia.

Cryptojacking - dlaczego jest popularny?

Nie wiadomo dokładnie, jakie ilości kryptowalut - i jakich - zostały wykopane za pomocą tych ataków, nie ma jednak wątpliwości, że ostatnie dwa lata to wręcz inwazja szkodników typu cryptominer. Wzrosła kolosalnie liczba atakujących przeglądarki, jednak od kilku miesięcy ich liczba spada - co jest powiązane z malejącymi kursami kryptowalut. Patrząc w przeszłość, w listopadzie 2017 roku Adguard raportował wzrost atakujących przeglądarki szkodników o 31% - odkryto aż 33 tysiące stron, na których znajdowały się skrypty uruchamiające cryptominery. Miesięczna ilość odwiedzin tych witryn szacowana była na miliard. W lutym 2018 roku 34 474 witryny były zainfekowane przez Coinhive, korzystającego z JavaScript minera, a w czerwcu tego samego roku Check Point Software Technologies zaprezentowało raport, z którego wynikało, że wśród 10 najbardziej rozpowszechnionych na świecie wirusów, aż cztery to cryptominer, w tym Coinhive oraz Cryptoloot.

O ile w 2017 roku cryptojacking stanowił 23% wszystkich rodzajów ataków, o tyle już w kolejnym roku liczba ta spadła do 7%. Powód jest prosty - cyberprzestępcy doszli do wniosku, że bardziej opłaca im się atak typu ransomware . Jednak nie oznacza to, że odpuścili je całkowicie - te szkodniki wciąż będą ewoluować, ponieważ nie wykorzystały jeszcze wszystkich posiadanych przez siebie możliwości. W chwili obecnej zyski z Coinhive to ok. 300 tys. dolarów miesięcznie. A w styczniu 2018 wykryto botnet Smominru, wyspecjalizowany w cryptominingu. W jego skład wchodziło ponad pół miliona zainfekowanych maszyn, głównie w Rosji, Indiach i na Tajwanie. Botnet uderzał w serwery Windows, aby kopać krypotowalutę Monero. Zajmująca się bezpieczeństwem firma Proofpoint ocenia, że miesięcznie był w stanie generować kryptowaluty wartości ponad 3,6 miliona dolarów.

Na popularność cryptojackingu wpływa fakt, że nie jest wymagana do niego zaawansowana wiedza techniczna. Ba, praktycznie nie jest potrzebna żadna - w dark webie dostępne były zestawy do tworzenia cryptojackingu za kwotę... 30 dolarów. Dlatego za niewielkie pieniądze można było uzyskać duże zyski. Obecnie hakerzy widzą cryptojacking jako alternatywą dla ransomware. W przypadku ransomware można zablokować setkę komputerów i domagać się okupu za ich odblokowanie. Przy cryptojackingu ta setka komputerów pracuje, generując przestępcy pieniądze. Ponadto ryzyko wykrycia sprawcy ataku cryptojacking jest znacznie mniejsze, niż przy ransomware. Nie bez znaczenia jest również fakt, że sam atak znacznie trudniej wykryć - wszystko dzieje się w tle, a jeśli spowolnienie systemu nie jest duże, może minąć nawet kilka tygodni, zanim infekcja zostanie wykryta. A gdy już to nastąpi, trudno dotrzeć do jej źródła. Cryptomining służy głownie wydobywaniu kryptowalut Monero i Zcash, które są anonimowe, w przeciwieństwie do Bitcoina, którego właściciela łatwiej zidentyfikować.

Cryptojacking - jak wygląda atak?

Hakerzy mają dwie główne drogi ataku na komputer ofairy. Pierwsza to pobranie kodu cryptominera na komputer. Może być to dokonane metodą wspomnianego phishingu, czyli linka na stronie lub w mailu. Kliknięcie w niego pobiera na komputer skrypt cryptominera, który zaczyna swoją cichą pracę. Druga metoda to wstrzyknięcie w kod strony złośliwego skryptu. Gdy użytkownik wchodzi na taką witrynę, wyskakuje zainfekowana reklama, a skrypt samoczynnie się uruchamia. Co ciekawe, kod nie jest przechowywany na zainfekowanej maszynie - gdy jest ona połączona z internetem, łączy się z kontrolowanym przez hakera serwerem, który korzysta z jej mocy obliczeniowej do kopania kryptowaluty. Hakerzy często korzystają z obydwu metod, aby zwiększyć szanse powodzenia ataku oraz zmaksymalizować zyski. A im więcej zainfekowanych miejsc, tym większe szanse na profit.

W przeciwieństwie do klasycznych szkodników malware, skrypty kopiące nie wyrządzają żadnych szkód na komputerze ofiary, nie kradną, ani też nie niszczą danych. Zamiast tego podkradają moce przerobowe procesora - przez co spowalniają mocno działanie komputera. W przypadku kilku cryptominerów w systemie, spowolnienie może być tak wielkie, że praktycznie nie da się korzystać z urządzenia.

Znane przykłady cryptojackingu

Szkodniki tego typu zaskakują ekspertów swoim działaniem - mogą być łączone z innymi zagrożeniami oraz przejawiać cechy typowe dla np. wirusów. Oto kilka przykładów takich cryptominerów:

  • PowerGhost - został wykryty przez Fortinet jako malware wykradające dane. Jak się jednak okazało, oprócz tego korzystał z exploita EternalBlue, aby wyłączać oprogramowanie antywirusowe na zainfekowanej maszynie i pobierać kod kopacza.
  • MinerGate - pod nazwą tą kryje się cala rodzina malware, a jej warianty nie tylko pobierają złośliwy kod, ale są również w stanie śledzić ruchy myszki
  • BadShell - szkodnik, ktory wykorzystuje procesy Windows do kopania kryptowaluty. Używa w tym celu skryptu PowerShell, za pomocą którego wstrzykuje złośliwy kod do działających procesów
  • Na konferencji EmTech Digital jeden z informatyków pracujących dla dużego, europejskiego banku, przedstawił ciekawą historię ataku na instytucję. Pewnego dnia zauważono, że w nocy wszystkie systemy bankowości spowalniają, jednak gdy przeprowadzono diagnostykę wewnętrznej sieci, wszystko wydawało się w porządku. Jednak bliższe przyjrzenie się wynikom pokazało, że nagle bank zaczął dysponować nowymi serwerami. Odwiedzenie centrum danych pokazało, że serwery zainfekowane kopaczami podpięto do serwerów banku, co pozwalało im na korzystanie z zasobów sprzętowych.
  • W marcu tego roku Avast Software zaalarmował, że w popularnym serwisie GitHub pojawiły się cryptominery. Były to forki normalnych projektów, ukryte w strukturach katalogów. Po instalacji oprogramowania skłaniały użytkowników do pobierania złośliwego kodu, zamaskowanego np. jako aktualizacja FlashPlayera.
  • Facexworm: złośliwe rozszerzenie dla Chrome, odkryte przez Kaspersky Labs w 2017 roku. Używało Messengera w celu zainfekowania maszyny użytkownika i instalowało adware. Na początku tego roku Trend Micro znalazło wariant szkodnika, dostarczający kod kopacza.
  • WinstarNssmMiner: cryptominer odkryty w maju przez 360 Total Security. Stanowi niemiłe zaskoczenie dla każdego, kto chce go usunąć: zawiesza w takiej sytuacji działanie komputera. Szkodnik uruchamia się wraz z systemowym procesem svchost.exe i wstrzykuje kod w jego atrybuty.
  • CoinMiner - jeden z najtrudniejszych do wykrycia coinminerów. Szkodnik wykrywa, czy w systemie działa proces AMDDriver64, do którego się podpina.
  • Przejęte routery MikroTik - we wrześniu 2018 roku wykryto ponad 80 kampanii cryptojackingowych, wymierzonych w routery MikroTik. Zainfekowano tysiące urządzeń. Cryptominery wykorzystywały lukę CVE-2018-14847, której producent nie załatał na czas.

Cryptojacking - jak go uniknąć?

Aby uniknąć ryzyka posłużenia za czyjeś źródło mocy przerobowej, pamiętaj o następujących rzeczach:

  • W firmie musisz uwzględnić to zagrożenie w programie bezpieczeństwa, a zwłaszcza uświadomić pracowników o tym, że atak tego typu może nastąpić poprzez phishing; lepiej zapobiegać, niż potem szukać szkodnika
  • Zainstaluj w przeglądarce dodatki i rozszerzenia przeciwko cryptominerom oraz adblockery. Skrypty kopaczy są często dostarczane przez reklamy webowe, dlatego ich blokowanie zdecydowanie zwiększa szansę uniknięcia zagrożenia. Niektóre rozszerzenia, jak Ad Blocker Plus, mają funkcję wykrywania skryptów cryptominerów. Inne polecane rozszerzenia to No Coin oraz MinerBlock, stworzone specjalnie w tym celu.
  • Używaj oprogramowania ochronnego, które wykrywa cryptomining. Wielu producentów antywirusów dodało wykrywanie tych szkodników do swoich produktów, pamiętaj jednak, że twórcy szkodników cały czas wymyślają nowe techniki unikania zabezpieczeń, wiec ciężko powiedzieć, czy któryś antywirus stuprocentowo ochroni system
  • Dbaj o aktualność wtyczek i rozszerzeń przeglądarki, odpowiadających za bezpieczeństwo - przestarzałe nie stanowią dobrej ochrony
  • W przypadku używania przez firmę urządzeń pracowników (BYOD), należy stosować Mobile Device Management (MDM) oraz odpowiednie polityki bezpieczeństwa

Niestety, żadne z powyższych praktyk nie jest 100-procentowo skuteczna, jednak to jedyne, co da się zrobić.

Cryptojacking - jak wykryć?

Podobnie jak ransomware, cryptojacking również może sparaliżować maszynę, jednak w inny sposób. Wykrycie może być trudne, zwłaszcza, jeśli dotyczy całego systemu firmowego. Jeśli szkodnik przedostanie się do systemu, pierwszym i głównym objawem jest spowolnienia działania komputera. Inne objawy to przegrzewanie się komponentów, co może skutkować uszkodzeniami procesora oraz wiatraczków - muszą one wytężać wszystkie siły. Nawet, jeśli szybko wykryje się i usunie szkodniki, wpływa to znacząco na żywotność podzespołów, zwłaszcza w smartfonach i tabletach. W sieciach firmowych łatwiej odkryć cryptojacking niż w domu. Po pierwsze - nie wykrywa go większość antywirusów konsumenckich. Po drugie - sieci firmowe są monitorowane i wzmożony ruch łatwo odkryć za pomocą służących do monitorowania narzędzi. Istnieją również dedykowane rozwiązania biznesowe - np. SecBi wynalazło algorytmy SI służące tylko w celu wykrywania cryptojackingu poprzez ruch sieciowy. Cryptominery wykrywa również wiele skanerów malware, jak np. Malwarebytes Anti-Malware. Co ciekawe - potrafią one odnaleźć te szkodniki nawet w sytuacji, gdy nie widzi ich oprogramowanie antywirusowe!

A co robić po wykryciu cryptominera? Jeśli nie usuwa ich oprogramowanie antywirusowe, należy przede wszystkim zatrzymać wszystkie działające skrypty sieciowe oraz procesy, które znajdziesz w Menadżerze Zadań, a które wykorzystują dużą ilość zasobów procesora. Gdy nie masz pewności, czego dotyczy dany proces, sprawdź to w sieci. Ponadto odinstaluj wszystkie rozszerzenia przeglądarki i zainstaluj je ponownie, prosto ze strony producenta. Zyskasz dzięki temu pewność, że nie używasz rozszerzeń i dodatków zatrutych złośliwym kodem.