7 mln USD w pół roku. Tak hakerzy zarabiają na kryptowalutach

Przeczytaj także: Firefox, OnyX i Deeper. Jak kopiemy kryptowaluty hakerowi

Wprawdzie kryptowaluty bywają dość nieprzewidywalne, a ich notowania przypominają tor jazdy kolejki górskiej, to jednak ciągle budzą ogromne zainteresowanie. Ubiegłoroczny, potężny skok wartości bitcoina rozpalił wyobraźnię nie tylko
inwestorów, ale również cyberprzestępców. Ci ostatni, aby zarobić kryptowalutę, zaczęli stawiać w swoich działaniach na rozwiązania, które - na wzór ransomware — cechuje prosty model monetyzacji.

W odróżnieniu jednak od ransomware koparki nie wyrządzają swoim ofiarom poważnych szkód, więc mogą pozostawać niezauważone przed długi czas, ukradkowo czerpiąc z mocy obliczeniowej zainfekowanego urządzenia. We wrześniu 2017 r. Kaspersky Lab odnotował wzrost liczby programów do kopania kryptowaluty (tzw. minery), które zaczęły aktywnie rozprzestrzeniać się na całym świecie, i przewidywał ich dalszy rozwój. Ostatnie badania ujawniają, że wzrost ten nie tylko trwał, ale także był zaskakująco rozległy.

Badacze z Kaspersky Lab zidentyfikowali niedawno ugrupowanie cyberprzestępcze posiadające zaawansowane techniki w swoim arsenale narzędzi służących do infekowania użytkowników szkodliwymi koparkami. Wykorzystywało ono metodę, która jest zwykle stosowana w szkodliwym oprogramowaniu i została zidentyfikowana w niektórych atakach ukierunkowanych przeprowadzanych przez zaawansowane cybergangi, ale nigdy wcześniej nie została zaobserwowana w atakach związanych z kopaniem kryptowaluty.

Atak jest przeprowadzany w następujący sposób: ofiara zostaje podstępnie nakłoniona do pobrania i zainstalowania oprogramowania reklamującego, które skrywa instalator koparki. Instalator ten zapisuje legalne narzędzie systemu Windows, którego głównym celem jest pobranie samego minera ze zdalnego serwera. Po aktywowaniu uruchamia się legalny proces startowy i jego legalny kod zostaje przekształcony w szkodliwy. W efekcie koparka działa pod przykrywką legalnego procesu, dlatego użytkownik nie jest w stanie rozpoznać infekcji. Również rozwiązania bezpieczeństwa mogą mieć problem z wykryciem tego zagrożenia. Ponadto jeśli użytkownik spróbuje zatrzymać proces, system uruchomi się ponownie. Tym samym przestępcy zapewnią sobie dłuższe przebywanie w systemie oraz produktywniej spędzony czas.

Z obserwacji badaczy z Kaspersky Lab wynika, że stojący za tymi atakami przestępcy kopali monety Electroneum i zarobili niemal 7 milionów w drugiej połowie 2017 r. – co można porównać z kwotami, które kiedyś zarabiali twórcy oprogramowania ransomware.

Widzimy, że oprogramowanie ransomware jest spychane w cień, ustępując tym samym miejsca szkodliwym koparkom kryptowaluty. Potwierdzają to nasze statystki, które pokazują stały wzrost liczby programów typu miner w ciągu roku, jak również fakt, że ugrupowania cyberprzestępcze aktywnie rozwijają swoje metody i już teraz zaczęły stosować bardziej wyrafinowane techniki w celu rozprzestrzeniania swoich narzędzi. Ta ewolucja już nastąpiła – atakujący wykorzystujący programy ransomware stosowali te same chwyty, kiedy odnotowały wzrost – powiedział Anton Iwanow, główny analityk szkodliwego oprogramowania, Kaspersky Lab.

Z danych Kaspersky Lab wynika, że w 2017 r. 2,7 mln użytkowników było atakowanych przez szkodliwe koparki — to około 50% więcej niż w 2016 r. (1,87 mln). Osoby te stawały się ofiarą w wyniku stosowania przez cyberprzestępców oprogramowania reklamowego (adware), zhakowanych gier oraz nielegalnego oprogramowania w celu ukradkowego infekowania komputerów PC. Innym stosowanym podejściem był „web mining” — kopanie kryptowalut za pośrednictwem specjalnego kodu umieszczonego na zainfekowanej stronie internetowej. Najszerzej wykorzystywanym programem typu miner był CoinHive, który został wykryty na wielu popularnych stronach internetowych.

Użytkownikom, którzy chcą zabezpieczyć się przed szkodliwymi koparkami, Kaspersky Lab zaleca następujące działania:

• Nie otwieraj nieznanych stron internetowych ani nie klikaj podejrzanych banerów czy reklam.
• Nie pobieraj ani nie otwieraj plików pochodzących z niezaufanych źródeł.
• Zainstaluj niezawodne rozwiązanie bezpieczeństwa, takie jak Kaspersky Total Security lub Kaspersky Internet Security, które wykrywa i chroni przed wszystkimi potencjalnymi zagrożeniami, łącznie z oprogramowaniem do kopania kryptowaluty.

Organizacjom Kaspersky Lab zaleca następujące działania:

• Regularnie przeprowadzaj audyt bezpieczeństwa w firmowej sieci.
• Zainstaluj niezawodne rozwiązanie bezpieczeństwa na wszystkich stacjach roboczych i serwerach i dopilnuj, aby wszystkie jego komponenty były włączone w celu zapewnienia maksymalnej ochrony. Klienci firmy Kaspersky Lab są chronieni przed szkodliwymi koparkami za pomocą rozwiązania Kaspersky Endpoint Security for Business.