В течение нескольких последних месяцев киберпреступники получили миллионы долларов через установку криптодобытчиков. Сегодня мы расскажем, как работают майнеры на компьютерах пользователей, и почему они в настоящее время считаются крупнейшей киберугрозой (особенно для компаний) и как защитить от них инфраструктуру.
Увеличение числа майнеров криптовалюты
В 2017 году, когда обменный курс bitcoin и altcoin (альтернативных криптовалют) поднимался в стратосферу, стало ясно, что наличие вычислительных мощностей можно превратить в реальные деньги. Особенно привлекательным аспектом экономики криптовалют является то, что – в отличие от реальных денег – электронную валюту может создать каждый, помогая в построении цепочки блоков путём выполнения математических вычислений и получая за это вознаграждение.
Общее правило майнинга заключается в том, что чем больше вы выполняете расчетов, тем больше вы получаете. Одной из проблем является то, что чем больше вычислений нужно выполнить, тем больше мощности вам нужно, – и придётся потратить больше электроэнергии.
Злоумышленникам не потребовалось много времени, чтобы в голову пришла идея использовать чужие компьютеры для добычи криптовалюты. В идеальном случае компьютер жертвы выполняет расчеты без ведома их владельцев или администраторов. По понятным причинам злоумышленники любят сети крупных компаний, в которых работают сотни машин.
Какие технологии используют злоумышленники?
Скрытые угрозы майнинга
Первый способ носит все черты технологий, используемых для проведения сложных продолжительных атак (англ. Advanced Persistent Threats, APT), которые многократно использовались в недавних атаках вымогателей. В настоящее время те же методы – например, атаки, использующие печально известную уязвимость EternalBlue – используются для распределения скрытых майнеров.
Ещё один способ скрытой установки майнера на компьютер жертвы – обман пользователя. Как правило, киберпреступники вводят пользователя в заблуждение, предлагая скачать бесплатную версию продукта.
После загрузки программа запускается на компьютере и устанавливает последнюю версию криптодобытчика, а также специальный инструмент, который прячет её в системе. В пакете могут находиться средства автоматического запуска и настройки, которые могут определить, например, сколько ресурсов может использовать майнер – в зависимости от количества работающих и других программ, – чтобы не привести к замедлению системы и не вызвать подозрения пользователя.
Задачей этих инструментов может быть также предотвращение ситуации, в которой пользователь останавливает работу майнера. Если пользователь обнаружит криптодобытчик и захочет его отключить, то компьютер будет перезагружен, после чего майнер будет работать, как и раньше. Что интересно, большинство скрытых майнеров использует код своих легальных аналогов, что дополнительно затрудняет их обнаружение.
Криптовалюту можно добывать незаконно другим способом: с помощью сайтов, точнее с помощью браузера. Это возможно, когда администратор сайта добавляет соответствующий скрипт. Это также может сделать злоумышленник, который получит доступ администратора к странице. Когда пользователь войдет на такой сайт, его компьютер начнет строить блоки (из которых извлекают выгоду преступники, использующие сценарии).
Как компании защитить устройства от майнинга
Современные технологии проведения сложных атак, а также сложность в их обнаружении, приводят к тому, что киберпреступники могут построить из компьютеров жертв бот-сеть, которые они используют для скрытой добычи криптовалюты.
Никого не нужно убеждать в том, что инфраструктура компании имеет большие вычислительные возможности, которые всегда остаются в центре внимания мошенников. Этой опасности также могут быть подвержены корпоративные устройства.
В связи с этим, рекомендуем применять в бизнесе следующие профилактические меры:
- На всех корпоративных компьютерах и серверах установить средства обеспечения безопасности, которые защитят инфраструктуру от атак.
- Регулярно проводить аудит безопасности корпоративной сети, целью которого является выявление какой-то нестандартной активности.
- Время от времени проверяйте планировщик заданий, который мошенники могут использовать для запуска вредоносных процессов.
- Не забывайте о менее очевидных целях, таких как системы управления очередями, платежные терминалы и даже торговые автоматы. Как показал случай экскаватора, использующего эксплойт EternalBlue, такое оборудование также может быть перехвачен с целью добычи криптовалюты.
- Используйте специализированные устройства в режиме отказа – это позволит защитить их не только от майнинга, но и многих других опасностей.
