Czym jest cryptojacking? Jak się przed nim chronić?

Cyberprzestępcy używają taktyki podobnej do ransomware, aby wstrzyknąć swoją truciznę do systemu. Po udanej infekcji zaczyna ona kopać krypotwalutę.


Cryptojacking - definicja

Cryptojacking to nieautoryzowany dostęp do komputera innej osoby w celu wykorzystania jego zasobów do kopania kryptowaluty. Hakerzy dokonują tego poprzez skłonienie ofiary do kliknięcia w złośliwy link (często w e-mailu) - kliknięcie sprawia, że pobierany jest kod "kopacza" lub też wykonywany złośliwy kod JavaScript, znajdujący na stronie internetowej. Złośliwy kod działa w tle, nie pokazując żadnych wyraźnych oznak poza spowolnieniem pracy całego systemu oraz znajdujących się w nim aplikacji.

Nie jest możliwe podsumowanie, jak dużo kryptowaluty zostało wykopane poprzez cryptojacking, jest jednak wiadomym, że skuteczne ataki tego typu idą w miliony przypadków. W listopadzie 2017 roku Adguard raportował ich zwiększenie o 31%, a badacze doliczyli się 33 tysięcy stron www, na których znajduje złośliwy kod. Łączna ilość osób, które je odwiedzają, idzie w miliardy. W lutym 2018 roku Bad Packets Report wymieniał już 34747 stron z najpopularniejszym skryptem cryptojackerów - Coinhive. Co ważne - jest on używany również do legalnego kopania kryptowalut. W czerwcu 2018 roku Check Point Software Technologies ogłosiło, że 4 na 10 szkodników malware to cryptominery, a najpopularniejsze to wspomniany Coinhive oraz Cryptoloot. Jednak już w pierwszym kwartale 2019 roku liczba ataków spadła znacznie - obecnie jest to ok. 23% wszystkich ataków szkodliwego oprogramowania. Różne raporty sugerują, że cryptojacking po prostu przestał być opłacalny, a cyberprzestępcy preferują zamiast tego ransomware.

Jak jednak ostrzega analityk Marc Lalibert: "Cryptomining jest w swoim okresie niemowlęctwa. Wciąż będzie się rozwijać i ma mnóstwo możliwości ewoluowania." Coinhive jest łatwy do wykorzystania i w pierwszym okresie po swoim utworzeniu wygenerował kryptowalut o wartości ponad 300 tysięcy dolarów. W styczniu 2018 roku wykryto botnet Smominru, zajmujący się kopaniem walut. Składał się z ponad pół miliona zainfekowanych maszyn, głównie w Rosji, Indiach i na Tajwanie. Kopał kryptowalutę Monero i do czasu wykrycia oraz likwidacji wygenerował równowartość 3,6 miliona dolarów.

Co bardzo istotne - cryptojacking nie wymaga żadnych większych umiejętności technicznych. W dark webie można nabyć zestawy do tworzenia cryptojackingu za 30 dolarów. A więc - małe pieniądze za perspektywę zgromadzenia naprawdę potężnych kwot. I w dodatku mniejsze ryzyko wykrycia, niż w przypadku ransomware, przy którym płacą zazwyczaj trzy osoby na... sto zainfekowanych maszyn. Dzięki cryptojackingowi, ta setka urządzeń kopie non-stop kryptowaluty. A co z ryzykiem złapania? Jest znacznie mniejsze, tym bardziej, że przed długi czas złośliwy kod może pracować niezauważenie. Gdy zostanie wykryty, ciężko dociec jego źródła, tym bardziej, że nic nie zostaje użytkownikowi wykradzione, ani zaszyfrowane. Ponadto hakerzy używają cryptojackingu do kopania anonimowych walut, jak Monero oraz Zcash.

Jak działa cryptojacking?

Włamywacze mają dwie główne metody. Pierwsza to skłonienie pobrania złośliwego kodu do komputera. Jest to najczęsciej przeprowadzane w stylu ataków phishingowych, czyli - w pozornie niewinnym mailu znajduje się link, w który użytkownik powinien kliknąć, co uruchamia kod, umieszczający kod cryptojackignu w systemie. Uaktywnia się on wraz z uruchomieniem komputera. Druga - wstrzyknięcie skryptu w kod reklamy wyświetlanej na wielu stronach. Gdy użytkownik wchodzi na taką stronę, wówczas zainfekowana reklama wyskakuje w przeglądarce, a skrypt jest automatycznie wykonywany. Kod zaczyna wykonywać kompleksowe obliczenia matematyczne i wysyłać ich wyniki do serwera kontrolowanego przez przestępcę.

Przestępcy często korzystają z obu metod, aby zmaksymalizować swoje zyski. Na przykład jeśli zainfekowana została setka maszyn, 90 mogło spotkać to po odwiedzeniu strony ze spreparowaną reklamą, a 10 - po kliknięciu w link. W odróżnieniu od większości szkodników, skrypty cryptominerów nie wyrządzają żadnych szkód na opanowanej maszynie, a jedynie wykorzystują zasoby procesora. Spowolnione działanie systemu i programów może być irytujące, jednak często kładzie się to na karb przestarzałego sprzętu czy wielu procesów pracujących w tle - co utrudnia wykrycie cryptominera.

Cryptojacking - wykryte przykłady

Przestępcy korzystający z cryptojackingu mają wiele pomysłów, jak wprowadzić szkodniki w życie, a oto kilka najciekawszych przykładów:

  • PowerGhost - wykryty przez Fortinet; jest to malware, które wykrada dane logowania do Windowsa, a także wykorzystuje znany exploit EternalBlue w celu wyłączenia zapór systemu i umożliwienia niezakłóconego działania cryptominerów
  • Graboid - robak rozprzestrzeniający botnet, korzystający z silnika oprogramowania Docker , znaleziony na ponad dwóch tysiącach maszyn, jego wariant to MinerGate - zaczyna kopać kryptowalutę po wykryciu ruchu myszki
  • BadShell - skrypt uruchamiany przez PowerShell wstrzykuje złośliwy kod w aktualnie działające w systemie procesy, wprowadza również zmiany w rejestrze
  • Facexworm - w 2017 roku wykryto wtyczkę do Chromę, obsługującą Messengera, która infekowała złośliwym kodem system użytkownika i dodawała adware. Nazwano go Facexworm, a jego warianty miały coraz większe możliwości - na przykład rozprzestrzeniania się po kontaktach w komunikatorze.
  • WinstarNssmMiner - wykryty przez 360 Total Security, a różniący od pozostałych tym, że przy próbie usuwania powodował crash systemu. Infekował proces svchost.exe i przestawiał jego ważność dla stabilności systemu na krytyczną. Dlatego jego zatrzymanie/usunięcie resetowało system.
  • CoinMiner - wykryty przez Comodo; wyszukiwał procesów związanych ze sterownikiem AMDDriver64, a po zainfekowaniu tworzył dwie listy - malwares oraz malwares2, na których umieszczał procesy wykorzystywane przez... inne cryptominery. Jeśli jakiś został wykryty - zatrzymywał go.

Jednym z największych przykładów cryptojackingu jest pewien europejski, duży bank, w którym stwierdzono niezwykłe natężenie ruchu na serwerach - zwłaszcza w nocy. Narzędzia diagnostyczne nie były w stanie wykryć niczego niezwykłego, dopiero zbadanie połączeń pozwoliło zlokalizować nowy serwer, połączony z istniejącymi, na który spływały efekty pracy "kopaczy", jakimi zainfekowano pozostałe. W marcu 2019 Avast Software poinformował, że cryptojackerzy korzystają z popularnej platformy GitHub do przechowywania oprogramowania crytopajcking. Były to zazwyczaj forki (odgałęzienia) prawdziwych, nieszkodliwych projektów. Wstrzyknięty w nie złośliwy kod sprawiał, że po uruchomieniu dana aplikacja zachęcała do pobrania np. aktualizacji wtyczki flash. Oczywiście naprawdę pobierany był kod cryptominera. Potem wykryto również podatność w rTorrent, która umożliwiała przejęcie klienta sieci p2p - musiał mieć on odpowiednią konfigurację. Jeśli tak było, wstrzykiwany zostawał w niego złośliwy kod i przy używaniu sieci p2p od razu następowało kopania kryptowaluty. Cyberprzestępcy korzystają także z dodatków do przeglądarek.

Około 80 kampanii cryptojackingu zostało aktywowanych przy użyciu ruterów MikroTik. Szacuje się, że szkodniki korzystały z setek tysięcy urządzeń.

Cryptojacking - jak go uniknąć?

Na cryptojacking narażone są zarówno komputery firmowe, jak i użytkowników prywatnych. W przypadku firm ważne jest wyszkolenie pracowników tak samo, jak w przypadku zagrożeń phishing - ponieważ w ten sposób zagrożenie jest rozprzestrzeniane. A więc - nie klikamy bezmyślnie w linki znajdujące we wiadomościach e-mail, warto zainstalować dodatki do przeglądarek blokujące reklamy (jak Ad Blocker Plus), a także specjalistyczne, tworzone w celach powstrzymania cryptojackingu - jak No Coin czy MinerBlock. Warto również zwrócić uwagę na to, czy w używanym antywirusie jest moduł wyspecjalizowany w wychwytywaniu tego typu zagrożeń - a wielu producentów dodało w ostatnich latach takie właśnie elementy do swoich produktów. To istotne, ponieważ zmieniane są techniki ataków, a producenci reagują najszybciej na nowo wykrywane metody infekcji, wprowadzając do swoich rozwiązań odpowiednie antidotum. W przypadku firm ważne jest używanie mobile device management (MDM) - zwłaszcza gdy wykorzystuje się urządzenia prywatne pracowników do celów służbowych (BYOD). MDM pozwala na zarządzenie aplikacjami i rozszerzeniami na smartfonach i tabletach wykorzystywanych w celach zawodowych.

Żadna praktyka nie daje stuprocentowej gwarancji sukcesu, ale znacznie minimalizuje ryzyko zainfekowania.

Cryptojacking - jak go wykryć?

W odróżnieniu od np. ransomware, cryptojacking trudno wykryć - zwłaszcza, jeśli korzysta z kilku maszyn i z każdej czerpie tylko niewielki procent zasobów. Co gorsze, kod cryptominera może ukryć się przed narzędziami wykrywającymi zagrożenia. Główny objaw to znaczne spowolnienie działania maszyny - a także większy hałas, ponieważ procesor daje z siebie pełną moc, co wymaga wzmożonej pracy wiatraczków oraz elementów odpowiedzialnych za chłodzenie. Warto również dodać, że w ten sposób cryptojacking powoduje szybsze zużycie procesora. To bardzo istotne w przypadku smartfonów i tabletów, gdzie uszkodzenie procesora praktycznie zmienia w złom dane urządzenie.

Cryptojacking można wykryć również przez śledzenie ruchu sieciowego - jak we wspomnianym banku. Służą do tego specjalistyczne narzędzia diagnostyczne, a także rozwiązania korzystające z SI. Właściciele stron powinni raz na jakiś czas monitorować ich kod, aby sprawdzić, czy nie został w nie wstrzyknięty skrypt JavaScript, co narazi osoby odwiedzające witrynę. Nie tylko użytkownicy zostaną w takim przypadku zainfekowani, ale również znacznie spadnie zaufanie do firmy prowadzącej stronę, przez co utraci ona reputację.

Cryptojacking - co robić po jego wykryciu?

Po wykryciu cryptominerów należy jak najszybciej zatrzymać ich procesy, a w przypadku stron - działające, szkodliwe skrypty (nawet poprzez zamknięcie zakładki, w której działa skrypt). Następnie należy przeprowadzić skan programem antywirusowym (jak np. Bitdefender Total Security) lub specjalistycznym, samodzielnym narzędziem (jak np. Malwarebytes AntiMalware). Po przeprowadzeniu tych operacji i usunięciu szkodników należy również zaktualizować przeglądarki i ich wtyczki.