2022/01/21 10:34:09

Скрытый майнинг
Криптоджекинг
Cryptojacking

Майнерами называются программы, эксплуатирующие ресурсы вычислительного устройства для генерации различных криптовалют. Иногда пользователи могут устанавливать это ПО самостоятельно, но иногда речь идет о нелегитимной их разновидности. Такие программы устанавливаются без ведома и согласия пользователя и чаще всего распространяются с помощью всевозможных троянцев и других вредоносных программ.

Содержание

Основная статья: Майнинг криптовалют

Майнинг (добыча) криптовалюты необходим для работы системы. Майнинг состоит из серии вычислений, осуществляемых для обработки транзакций в Блокчейн. Он создает новую криптовалюту и подтверждает транзакцию во всей блокчейн-сети. Чтобы больше создавать криптомонет, необходимо их добывать. Без майнинга система может рухнуть.

Многие пользователи сами стали заниматься майнингом, чтобы заработать деньги. Майнеры выполняют математические операции для подтверждения транзакций, а для этого они используют специальное ПО. Таким образом, чтобы майнинг был прибыльным, необходимо иметь огромные вычислительные мощности. Чтобы делать деньги на майнинге, кибер-преступники стали заниматься криптоджекингом (cryptojacking).

Криптоджекинг заключается в несанкционированном использовании устройств пользователя для добычи криптовалюты. В основном, хакеры используют вредоносное ПО для взлома компьютеров, планшетов или смартфонов, после чего используют их для скрытого майнинга криптовалют. Возможно, пользователь заметит небольшое снижение скорости работы его устройства, но вряд ли подумает о том, что это связано с попыткой атаки на него для майнинга криптовалют. Одна из наиболее распространенных техник заключается в том, чтобы получить контроль над процессором устройства жертвы (CPU) или процессором его видеокарты (GPU) через посещение какого-нибудь веб-сайта, зараженного вредоносной программой для майнинга криптовалют[1].

Как происходит скрытый майнинг?

Чаще всего скрыто майнят пиратские популярные сайты: торрент-трекеры, форумы, сайты с фильмами и сериалами. Для того, чтобы начать майнить за счёт пользователя совершенно необязательно устанавливать на его компьютер троян или другую вирусную программу. Для этого достаточно ввести в код сайта специальный скрипт, который позволяет незаметно подключиться к системе гостей сайта. В принципе, обнаружить это достаточно просто. При таком вмешательстве загрузка процессора резко увеличивается практически до ста процентов. Однако, загружаемые торренты и без этого нагружают систему, что не позволяет определить майнинг[2].

Для того, чтобы увидеть нагрузку процессора на Windows, нужно зайти в «Диспетчер задач» (Task Manager). В MacOS эту функцию выполняет программа «Мониторинг системы» (Activity Monitor).


Избежать скрытого майнинга можно несколькими способами:

  • Установить специальное расширение, блокирующие веб-майнинг.
  • Отключить JavaScript.
  • Использовать надёжный антивирус. Антивирусные программы чаще всего видят майнеры, как потенциально безопасные, но при этом их можно использовать в зловредных целях, то есть, рискованные.

Как компания может защитить себя от криптоджекинга?

Такие атаки имеют серьезные последствия для предприятий. Наиболее очевидные последствия возникают в результате кражи ресурсов процессоров, что может замедлить работу систем и сетей, подвергнув предприятие и всю систему серьезным рискам. Более того, после того как компания была атакована, вполне вероятно, что потребуется достаточно много времени и средств для устранения данной проблемы. Интенсивный майнинг криптовалют также может иметь финансовые последствия для компаний, т.к. в результате повышенного использования ИТ-ресурсов должен наблюдаться рост потребляемой мощности, а это ведет к повышенным расходам на электроэнергию.

Кроме того, такие атаки могут нанести ущерб корпоративным устройствам. Если майнинг осуществляется в течение длительного периода времени, то устройства и их батареи часто испытывают чрезмерную нагрузку и перегрев, что также снижает ресурс работы этих устройств.

Конечно, не следует также забывать, что если вы стали жертвой криптоджекинга, то это означает, что хакеры смогли преодолеть ваши системы безопасности и получить контроль над корпоративными устройствами, подвергнув серьезному риску конфиденциальность корпоративных данных.

Чтобы защититься от возможной атаки по майнингу криптовалют, мы рекомендуем вам соблюдать следующие меры безопасности:

  • Периодически проводите оценки рисков для выявления уязвимостей.
  • Регулярно обновляйте все ваши системы и устройства.
  • Внедряйте решения расширенной информационной безопасности, которые позволяют получить полную видимость активности на всех конечных устройствах и контролировать все запущенные процессы.
  • Создайте безопасную среду для просмотра сайтов, установив расширения, которые препятствуют майнингу криптовалют.

Нелегальный майнинг

Основная статья: Нелегальный майнинг

Нелегальный майнинг связан с незаконным использованием оборудования собственных организаций для добычи криптовалют или с нелегальным подключением к электрическим сетям.

2024: Хакеры по всему миру превращают серверы компаний в майнинг-фермы из-за дыры в контейнерной системе Docker

В начале июня 2024 года исследователи проанализировали кампанию криптоджекинга и пришли к выводу, что хакеры по всему миру превращают удаленные API-серверы компаний в майнинг-фермы для криптовалюты из-за дыры в контейнерной системе Docker из проекта Commando с открытым исходным кодом. Подробнее здесь.

2023

Хакеры научились добывать криптовалюту на чужих серверах, не оставляя следов

11 июля 2023 года специалисты компании Wiz, занимающейся вопросами информационной безопасности, сообщили об обнаружении вредоносной программы нового типа, которая способна добывать криптовалюту на чужих серверах, не оставляя при этом никаких следов. Зловред получил название PyLoose. Подробнее здесь.

Обнаружение вредоноса HeadCrab - ботнета из высокопроизводительных машин

2 февраля 2023 года стало известно о том, что вредоносная программа, предназначенная для выслеживания уязвимых серверов Redis в Интернете, заразила более тысячи из них, начиная с сентября 2021 года. Исследователи из компании Aqua Security, которые обнаружили эту программу, дали ей название HeadCrab. По их словам, вредонос пока что невозможно обнаружить традиционными антивирусными решениями. Подробнее здесь.

2021

Взлом серверов Alibaba Cloud и добыча с их помощью криптовалюты

15 ноября 2021 года стало известно, что несколько хакерских групп взломали Alibaba Cloud с целью установки вредоносного ПО для майнинга криптовалюты Monero - «криптоджекинга». Подробнее здесь.

На оборудовании главного офиса польской полиции добывали криптовалюту

2 августа 2021 года стало известно о том, что сотрудники Национальной полиции Польши обнаружили в штаб-квартире Полиции ферму по добыче криптовалют, которую местные СМИ назвали майнинговой. Подробнее здесь.

Операторы ботнетов для майнинга криптовалюты используют блокчейн биткойна для сокрытия активности

Специалисты ИБ-компании Akamai рассказали о ботнете для майнинга криптовалюты, использующем для маскировки биткойн-транзакции. Об этом стало извесно 25 февраля 2021 года.

Описанный исследователями метод обфускации используется операторами длительной вредоносной кампании по добыче криптовалюты, в которой транзакции блокчейна биткойна используются для сокрытия адресов резервных C&C-серверов.

Ботнет получает команды от своих операторов с C&C-серверов. Правоохранительные органы и службы безопасности постоянно находят и отключают эти серверы, тем самым срывая вредоносные операции. Однако, если операторы ботнетов используют резервные серверы, отключение может существенно усложниться. По словам специалистов, киберпреступники научились прятать IP-адреса C&C-серверов с помощью блокчейна – простой, но эффективный способ избежать отключения.

Атака начинается с эксплуатации уязвимостей удаленного выполнения кода в Hadoop Yarn и Elasticsearch, в том числе CVE-2015-1427 и CVE-2019-9082. В некоторых случаях вместо прямого взлома киберпреступники модифицируют уязвимости для создания сканера серверов Redis, с помощью которого они находят дополнительные установки Redis с целью майнинга криптовалюты.

В декабре 2020 года специалисты Akamai обнаружили, что в появившиеся варианты вредоносного ПО для криптомайнинга были добавлены адреса биткойн-кошельков. Кроме того, был обнаружен URL-адрес API проверки кошелька и однострочные команды bash, и похоже, что полученные API данные кошелька использовались для расчета IP-адреса. Этот IP-адрес затем используется для сохранения постоянства на атакуемой системе. По словам исследователей, получая адреса через API кошелька, операторы вредоносного ПО могут обфусцировать и хранить данные конфигурации в блокчейне.

Чтобы преобразовать данные кошелька в IP-адрес, операторы используют четыре однострочных скрипта bash для отправки HTTP-запроса API проводника блокчейна для данного кошелька, а затем значения Satoshi (наименьшее заранее определенное значение биткойна) из двух последних транзакций конвертируются в IP-адрес резервного C&C-сервера[3].

2020

Вирус-майнер MrbMiner заразил тысячи Microsoft SQL Server

В середине сентября 2020 года стало известно о распространении вируса под названием MrbMiner, который атакует системы Microsoft SQL Server (MSSQL) и используется для добычи криптовалют. Об этой угрозе рассказали специалисты по информационной безопасности Tencent Security. Подробнее здесь.

Intel выпустила технологию защиты бизнес-компьютеров от скрытого майнинга

В конце июня 2020 года компании Intel и BlackBerry объявили о выпуске на рынок совместной системы, которая позволяет защищать коммерческие ПК от скрытого майнинга. Решение получило название BlackBerry Optics и основу в виде технологии Intel Threat Detection. Подробнее здесь.

Десятки компьютеров чиновников Татарстана заражены вирусами для добычи криптовалют

В середине июня 2020 года стало известно о том, что десятки компьютеров чиновников Татарстана использовались для добычи криптовалют. Как рассказал изданию «Бизнес Online» министр цифрового развития госуправления республики Айрат Хайруллин, некоторые устройства были оснащены вирусами для скрытого майнинга, но были и случаи, когда сами госслужащие добывали криптовалюту. Нарушителей привлекли к ответственности.

По словам Хайруллина, попытки майнинга криптовалюты с начала 2020 года по середине июня были зафиксированы на 71 компьютере, принадлежащем государственным органам Татарстана. Работа по реагированию на подобные инциденты возложена на Центр мониторинга информационной безопасности (SOC / SIEM) при взаимодействии с ФСБ, ФСТЭК и МВД. Благодаря SOC число угроз безопасности снизилось с 750 в январе до 461 в мае, рассказал министр.

На 71 компьютере в госорганах Татарстана был обнаружен майнинг криптовалюты
«
Уменьшилось число «дырок» — уязвимостей государственных информационных систем, мы минимизировали возможности угроз. Провели серию pen-тестов, когда сторонние эксперты в сфере киберугроз по принципу серого ящика пытались взломать государственные информационные системы и получить к ним доступ. По итогам такой кропотливой инженерной работы мы предприняли дополнительные меры защиты, — заявил он.
»

Айрат Хайруллин также отметил, что пока нет универсального инструмента борьбы со скрытым майнингом.

«
Мы по определенным сигнатурам фиксируем, что конкретный компьютер подвергся захвату, и предпринимаем меры по предотвращению таких уязвимостей. Наша задача — чтобы из 45 тысяч персональных компьютеров, которые подключены к государственной интегрированной системе телекоммуникаций, ни один не мог быть шлюзом для атаки на государственные информационные системы, — добавил министр.
»

Ранее после неудачной попытки взлома татарстанских серверов для майнинга криптовалюты на полтора года лишения свободы был осужден хакер из Владимирской области.[4]

Суперкомпьютеры по всей Европе заражены вирусом для добычи криптовалют

В середине мая 2020 года стало известно о заражении вредоносным программным обеспечением для майнинга криптовалюты Monero нескольких суперкомпьютеров в Европе.

Первым об обнаружении вируса объявил Эдинбургский университет, располагающий суперкомпьютером ARCHER. По словам системных администраторов, они зафиксировали подозрительную активность на узлах входа в систему. После чего тут же приостановили доступ пользователей к суперкомпьютеру, аннулировав все существующие пароли доступа.

Хакеры взломали суперкомпьютеры в Европе для майнинга криптовалют

После того как к расследованию инцидента присоединились EPCC Systems, Cray и Государственный центр кибербезпасности, спустя 7 дней периметр безопасности ARCHER удалось восстановить, а доступ к компьютеру — вернуть.

В тот же день, когда о проблеме сообщил Эдинбургский университет, о подозрительной активности уведомила немецкая организация bwHPC, которая управляет суперкомпьютерами в районе Баден-Вюртемберг в Германии. Эксперты зафиксировали атаки на 5 систем, размещенных в Штутгартском университете, Технологическом институте Карлсруэ, Ульмском университете и Тюбингенском университете. Все эти системы были выключены.

Двумя днями позже об аналогичный инцидент произошел в Барселоне, а днем позже еще четыре — в Мюнхене, Баварии, Юлихе и Дрездене. Еще через несколько дней об атаках сообщили два суперкомпьютерных центра в Мюнхене и Швейцарии.

Ни одна из организаций не поделилась догадками, кто может стоять за атаками, и каким образом хакеры проникли в системы. Но, согласно предварительным результатам расследования специализирующейся на информационной безопасности британской компании Cado Security, хакеры воспользовались похищенными учетными данными, содержащими данные для авторизации по протоколу удаленного администрирования SSH.

По всей видимости, в руки злоумышленников попали учетные данные исследователей из университетов в Канаде, Польше и Китае, которым был предоставлен дистанционный доступ к указанным системам для проведения научных расчетов.[5]

2019

38% компаний стали жертвами криптомайнеров

Специалисты из компании Check Point Software в отчете Cyber Security Report 2020 рассказали об основных инструментах, которые киберпреступники использовали для атак на компании по всему миру в 2019 году. Об этом стало известно 21 января 2020 года.

По словам экспертов, среди вредоносного ПО доминируют криптомайнеры, несмотря на тот факт, что количество криптомайнинговых атак в 2019 году сократилось. 38% компаний по всему миру стали жертвой данного вредоносного ПО. Популярность криптомайнерам обеспечивают небольшие риски и высокий доход. По результатам опроса, лишь 7% российских компании опасались криптомайнеров.

28% компаний были атакованы ботнетами, что на 50% превышает данный показатель за 2018 год. Лидером среди вредоносов благодаря своей универсальности стал Emotet.

Как отметили специалисты, количество атак на мобильные устройства снизилось — с 33% в 2018 году до 27% в 2019. По данным опроса, только 16% ИТ-экспертов в России устанавливают или планируют использовать специальное ПО для защиты мобильных устройств, а 52% респондентов считают самой эффективной мерой защиты запрет на пользование персональными смартфонами по работе.

Эксперты отметили увеличение количества предприятий, использующих облачные сервисы, — до 90%. Однако больше половины опрошенных (67%) ИБ-специалистов пожаловались на недостаточную прозрачность их облачной инфраструктуры, безопасности и несоответствия требованиям. Главной причиной атак на облачные сервисы по-прежнему остается неправильная настройка их ресурсов[6].

Российские хакеры майнят криптовалюту на веб-страницах госорганизаций

Как сообщил на пресс-конференции замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов, зараженные ресурсы госорганизаций России использовались хакерами для майнинга криптовалют. Об этом стало известно 16 декабря 2019 года.

«
Выявлены случаи майнинга криптовалюты с помощью зараженных информационных ресурсов государственных организаций. В этом случае злоумышленники заражают веб-страницы, а майнинг осуществляется в момент их просмотра в браузере,
сказал Н. Мурашов
»

«
Для генерации виртуальных монет может использоваться до 80% свободной мощности компьютера, причем легальный пользователь может даже об этом не знать,
сказал замглавы НКЦКИ
»

Мурашов отметил, что захват в целях майнинга серверов крупных компаний грозит существенным снижением их производительности и значительным ущербом для бизнеса.

«
В РФ за последнее время было два случая привлечения к уголовной ответственности лиц, которые использовали захваченные компьютеры для майнинга криптовалют. Один из них — житель Кургана, использовавший практически целую бот-сеть в различных регионах страны. Во втором случае уголовное дело было возбуждено по факту использования для майнинга сайта АО «Ростовводоканал»,
сказал Николай Мурашов[7]
»

ПО для добычи криптовалют научились скрывать в процессах на ПК

В середине декабря 2019 года исследователи кибербезопасности задокументировали использование технологии, позволяющей скрывать наличие вредоносных программ в зараженных системах. Хакеры разработали новую тактику атаки и использовали методику «затопления процессов» (халловинга), чтобы спрятать ПО для [[майнинг|майнинга\\. Антивирусы бессильны перед новой тактикой.

Исследователи Trend Micro заявили, что в течение ноября 2019 года хакеры провели организованную кампанию с использованием вредоносного ПО, используя необычный компонент-дроппер с вредоносным ПО в разных странах, включая Кувейт, Тайланд, Индию, Бангладеш, Объединенные Арабские Эмираты, Бразилию и Пакистан.

Хакеры разработали новую тактику атаки и использовали методику «затопления процессов»

Файл, внедренный в ПК жертвы, действует как средство удаления вредоносных программ и как архив, но сам по себе не является вредоносным. Этот архив содержит основной исполняемый файл и программное обеспечение для майнинга криптовалют, но делает их неактивными, что позволяет обойти защитные проверки.

Компоненту-дропперу требуется определенный набор кодов командной строки для запуска вредоносного ПО. По словам исследователей, после выполнения команды файл «не оставляет никаких следов вредоносного воздействия, которые позволили бы обнаружить или проанализировать его». Эта техника широко известна как процесс халловинга.

Чтобы избежать сканирования антивирусами, вредоносный код скрыт в каталоге без расширения. Злоумышленники могут запускать вредоносное ПО, используя определенные коды, благодаря чему вредоносное ПО распаковывается через дочерний процесс и в систему вводится майнер криптовалюты XMRig Monero. Таким образом начинается добыча криптовалюты в фоновом режиме, а вырученные средства отправляются на контролируемый злоумышленниками электронный кошелек.[8]

Включил музыку на компьютере и начался майнинг биткоина. Как злоумышленники по-новому добывают криптовалюту

В октябре 2019 года специалисты по информационной безопасности сообщили о том, что хакеры научились помещать вредоносный код в [[1]] для добычи криптовалют.

По данным BlackBerry Cylance, киберпреступники встроили в скрытый майнер в аудиофайлы WAV. Причем файлы, в которые был внедрен майнер, воспроизводились без проблем с качеством, на некоторых из них был белый шум.

Обнаружен червь для криптоджекинга, распространяющийся с помощью контейнеров Docker

17 октября 2019 года стало известно о том, что команда исследователей из Unit 42 компании Palo Alto Networks обнаружили, по их словам, первый червь для криптоджекинга, распространяющийся с помощью контейнеров Docker. Подробнее здесь.

Node.js-троян добывает криптовалюту TurtleCoin

19 июня 2019 года компания «Доктор Веб» сообщила что в ее вирусной лаборатории исследован троянец-загрузчик, написанный на JavaScript и использующий для запуска Node.js. Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin. Подробнее здесь.

Coinhive закрывается, но криптомайнинг по-прежнему доминирует

11 апреля 2019 года стало известно, что компания Check Point Software Technologies опубликовала отчет с самыми активными угрозами в марте Global Threat Index. Согласно рейтингу, несмотря на то что майнинговые сервисы, такие как Coinhive, закрываются, криптомайнеры все еще остаются самыми распространенными вредоносными программами, направленными на компании по всему миру.

Красным отмечены страны с наивысшей вредоносной активностью и наивысшими рисками, зеленым — с наименьшей вредоносной активностью и наименьшими рисками. Серым отмечены страны, по которым не достаточно данных.

Сервисы Coinhive и Authedmine прекратили работу 8 марта — и впервые с декабря 2017 года Coinhive уступил верхнюю позицию Global Threat Index. Однако, несмотря на то что криптомайнер работал в марте только в течение восьми дней, он занял шестое место среди самых активных угроз. В моменты своей самой активной работы Coinhive атаковал 23% организаций по всему миру.

Многие сайты все еще содержат JavaScript-код Coinhive, хотя майнинг ими уже не осуществляется. Исследователи Check Point предупреждают, что Coinhive может легко возобновить свою деятельность, если валюта Monero вновь покажет рост. Кроме того, воспользоваться отсутствием конкуренции со стороны Coinhive могут другие криптомайнеры — и увеличить свою активность.

Три из пяти самых активных угроз в марте — криптомайнеры Cryptoloot, XMRig и JSEcoin. Так, Cryptoloot впервые возглавил рейтинг угроз, за ним следует модульный троян Emotet. Оба атаковали около 6% компаний по всему миру. Третий по распространенности — зловред XMRig (5%).

«
С учетом общего снижения стоимость криптовалюты с 2018 года, скорее всего, все больше криптомайнеров пойдут по стопам Coinhive и прекратят свою работу. Тем не менее, я подозреваю, что киберпреступники найдут способы заработать, например, сфокусируются на майнинге в облачных средах, где встроенная функция автоматического масштабирования позволяет добывать еще больше криптовалюты. Мы видели, как организации просят заплатить сотни тысяч долларов своим облачным поставщикам за вычислительные ресурсы, незаконно используемые криптомайнерами. Так что компаниям следует как можно скорее обратить внимание на защиту облачных сред.
»

Топ-3 самых активных вредоносных ПО в марте 2019:

Стрелки показывают изменение позиции по сравнению с предыдущим месяцем.

  1. ↑ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
  2. ↑ Emotet — продвинутый, самораспространяющийся модульный троян. Emotet когда-то использовался в качестве банковского трояна, а в последнее время используется в качестве доставки других вредоносных программ или вредоносных кампаний. Он использует несколько методов, чтобы избежать обнаружения. Также распространяется через фишинговые спам-сообщения, содержащие вредоносные вложения или ссылки.
  3. ↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.


В апреле 2019 года Hiddad стал наиболее распространенным вредоносным ПО для мобильных устройств и сместил Lotoor с первого места. Троян Triada остается на третьем месте.

Самые активные мобильные угрозы марта 2019:

  1. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
  2. Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
  3. Triada — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузере.


Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. CVE-2017-7269 остался на первом месте (47%). Также в тройке утечка информации через репозитории веб-сервера Git (46%) и критические уязвимости библиотеки OpenSSL TLS DTLS Heartbeat (45%).

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

2018

Только один из пяти ИТ-специалистов знает о заражении криптомайнерами

11 февраля 2019 года компания Check Point Software Technologies Ltd., поставщик решений для обеспечения кибербезопасности во всем мире, выпустила вторую часть отчета 2019 Security Report. По данным отчета, инструменты, используемые киберпреступниками, стали более демократичными, а продвинутые методы атаки теперь доступны всем, кто готов заплатить за них.

Вторая часть отчета 2019 Security Report раскрывает ключевые тренды кибератак в 2018 году и показывает значительный рост скрытых комплексных атак, предназначенных для того, чтобы оставаться вне поля зрения корпоративной безопасности. Кроме того, в отчете говорится о тех видах кибератак, которые корпоративные ИТ и специалисты по безопасности считают самой большой угрозой для своих организаций.

Криптомайнеры остаются незамеченными в сети: в 2018 году криптомайнеры поразили в 10 раз больше компаний, чем программы-вымогатели, однако только один из пяти ИТ-специалистов по безопасности знали о заражении сетей своих компаний вредоносными программами.

Организации недооценивают риск угрозы криптомайнеров: только 16% опрошенных назвали криптомайнинг самой большой угрозой организации. Это очень низкий показатель по сравнению с DDoS-атаками (их назвали 34% опрошенных), утечкой данных (53%), программами-вымогателями (54%), и фишингом (66%). Такие результаты говорят о том, что криптомайнеры могут легко оставаться незамеченными, чтобы загружать и запускать другие типы вредоносных программ.

Вредоносные программы по подписке набирают популярность: партнерская программа GandCrab Ransomware-as-a-Service доказала, что даже дилетанты теперь могут получать прибыль от кибервымогательства. Подписчики сохраняют до 60% выкупа, собранного с жертв, а разработчики программы — 40%. На февраль 2019 года у GandCrab более 80 активных «филиалов», и в течение двух месяцев 2018 года они атаковали более 50 000 жертв и потребовали от 300 000 до 600 000 долларов выкупа.

«
Вторая часть отчета Check Point 2019 Security Report показывает, насколько успешно киберпреступники исследуют скрытые методы и бизнес-модели, чтобы увеличить свои незаконные доходы и снизить риски. Однако то, что они оставались незамеченными, вовсе не означает, что их нет: хотя в течение 2018 года кибератаки были в тени, они все так же разрушительны и опасны. Мы постоянно проводим анализ текущих угроз, чтобы организации могли лучше понять риски, с которыми они сталкиваются, и как они могут предотвратить их влияние на свой бизнес.
Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ
»

Отчет безопасности Check Point 2019 Security Report основан на данных сети по борьбе с киберпреступностью ThreatCloud intelligence, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз; данных из исследований Check Point за последние 12 месяцев; и данных из последнего опроса ИТ-специалистов и руководителей высшего звена, который оценивает их готовность к совремнным угрозам. В отчете рассматриваются последние угрозы для различных отраслей и дается всесторонний обзор тенденций, наблюдаемых в области вредоносных программ, утечек данных и кибератак на государственном уроне. Он также включает анализ экспертов Check Point, помогающий организациям понять и подготовиться к сложному ландшафту угроз.

Криптомайнеры атаковали 37% компаний по всему миру

30 января 2019 года стало известно, что компания Check Point Software Technologies Ltd., поставщик решений для обеспечения кибербезопасности во всем мире, выпустила первую часть отчета 2019 Security Report. В отчете освещены основные инструменты, которые киберпреступники используют для атак на организации по всему миру, и предоставляет специалистам по кибербезопасности и руководителям компаний информацию, необходимую для защиты организаций от текущих кибератак и угроз Пятого поколения.

Отчет 2019 Security Report раскрывает основные тренды и методы вредоносного ПО, которые исследователи Check Point наблюдали в 2018 году:

  • Криптомайнеры доминируют в ландшафте угроз: криптомайнеры стабильно занимали первые четыре строчки рейтингов самых активных угроз и атаковали 37% организаций по всему миру в 2018 году. Несмотря на снижение стоимости всех криптовалют, 20% компаний продолжают подвергаться атакам криптомайнеров каждую неделю. В последнее время это вредоносное ПО заметно эволюционировало, чтобы использовать уязвимости высокого уровня и обходить песочницы и другие средства защиты, чтобы увеличить интенсивность заражения.
  • Мобильные устройства как движущаяся цель: 33% организаций по всему миру подвергались атакам мобильного вредоносного ПО, причем три основных угрозы были направлены на ОС Android. В 2018 было несколько случаев, когда мобильное вредоносное ПО было предварительно установлено на устройствах, а приложения, доступные в магазинах приложений, фактически оказались скрытым вредоносным ПО.
  • Многовекторные ботнеты запускают цепочку атак: боты были третьим наиболее распространенным типом вредоносных программ: 18% организаций были атакованы ботами, которые используются для запуска DDoS-атак и распространения других вредоносных программ. Почти половина (49%) организаций, подвергшихся DDoS-атакам в 2018 году, была заражена ботнетами.
  • Падение доли программ-вымогателей: в 2018 году использование вымогателей резко сократилось, затронув лишь 4% организаций во всем мире.

«
От стремительного роста криптомайнинга до массовых утечек данных и DDoS-атак — мы увидели полный спектр кибератак на организации за 2018 год. Злоумышленники владеют широким выбором вариантов для атак и получения прибыли от организаций в любой отрасли, и в первой части нашего ежегодного отчета мы описали все более скрытные методы, которые они используют. Эти многовекторные, быстро распространяющиеся, крупномасштабные атаки пятого поколения Gen V становятся все более и более частыми, и организациям необходимо принять многоуровневую стратегию кибербезопасности, которая не позволяет этим атакам завладеть их сетями и данными.
Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ
»

Категории кибератак в мире и по регионам

Отчет безопасности Check Point 2019 Security Report основан на данных ThreatCloud intelligence, большой совместной сетью по борьбе с киберпреступностью, которая предоставляет

  • данные об угрозах и тенденциях атак из глобальной сети датчиков угроз;
  • данные из исследовний Check Point за последние 12 месяцев;
  • данные из последнего опроса ИТ-специалистов и руководителей высшего звена, который оценивает их готовность к сегодняшним угрозам.

Университет полностью отключил свою сеть, чтобы удалить вирусы для скрытой добычи биткоина

Начавшаяся 1 ноября 2018 года кибератака на университет святого Франциска Ксаверия, расположенный в городе Антигониш (Канада), привела к тому, что заведению пришлось почти на неделю закрыть доступ к своей сети. В компьютерных системах обнаружили вредоносное программное обеспечение для скрытой добычи криптовалюты. Подробнее здесь.

Число атак скрытого майнинга растет и уменьшается вслед за колебаниями курсов криптовалют

2 ноября 2018 года стало известно, что аналитики компании Avast зафиксировали интересную тенденцию: число атак, связанных с применением вредоносного ПО для майнинга в браузере в России, растет и уменьшается вслед за колебаниями курсов Bitcoin, Monero и других криптовалют. В сентябре 2018 года криптоджекинг стал активнее — вероятно, это связано с ожидаемым ростом стоимости криптовалют к концу 2018 года. Таким образом, злоумышленники усиливают незаконный майнинг при высоком курсе на криптобиржах и ограничивают эту активность, когда курс снижается.

Вслед за уменьшением стоимости криптовалют в 2018 году уровень скрытого майнинга в России также снизился. В августе было зафиксировано всего 1,7 миллиона подобных атак. В сентябре 2018 года их число вновь возросло — до 5,1 миллиона.

Влияние курса криптовалют на скрытый майнинг
«
Между активностью попыток заражения браузеров скрытыми майнерами и стоимостью криптовалют, например, Bitcoin и Monero, действительно прослеживаются интересные параллели. Очевидно, что киберпреступники планируют свою деятельность с учетом популярности и курсов этих цифровых активов. За последние несколько месяцев число атак снизилось — как и стоимость большинства криптовалют. В сентябре 2018 года было зафиксированно небольшое усиление этой активности. Скорее всего, злоумышленники рассчитывают на взрывное подорожание криптовалют, какое было в 2017 году. Одна из причин, по которой киберпреступники усиливают атаки в период роста курсов криптовалют, заключается в том, что они тоже несут расходы. Им необходимо поддерживать собственные сайты, совершенствовать алгоритмы заражения других ресурсов, а также обслуживать командные серверы. Именно поэтому майнинг прибылен только в определенные периоды времени — например, при высоком курсе криптовалют по отношению к обычному курсу
Михал Салат (Michal Salat), директор департамента по исследованию угроз безопасности компании Avast
»

Технология обнаружения угроз Avast на базе искусственного интеллекта, составляющая основу решения Avast Free Antivirus, а также механизмы обнаружения скриптов безопасного браузера Avast Secure Browser распознают зараженные сайты и защищают пользователей Avast от атак киберпреступников.

Вредоносное ПО для криптоджекинга через браузер внедряется в код веб-страниц в виде скриптов для майнинга. Когда пользователь заходит на такой сайт, скрипт начинает использовать вычислительные мощности его компьютера для добычи криптовалют. Негативные последствия таких атак — большие счета за электроэнергию, плохая производительность устройств, снижение эффективности, а также общее сокращение срока службы компьютеров, смартфонов и смарт ТВ. Майнер запускается в браузере, поэтому заражению может подвергнуться любое устройство, в котором есть такое приложение.

Добавить вредоносный скрипт в код можно двумя способами: киберпреступники могут взломать чужой сайт или создать свой собственный ресурс для майнинга. Обычно злоумышленники добывают Monero, так как эта криптовалюта обеспечивает большую анонимность и конфиденциальность владельцев, чем Bitcoin и другие цифровые активы. Алгоритм майнинга Monero был специально разработан для использования на обычных компьютерах, в то время как для добычи валют типа Bitcoin необходимо специальное оборудование. Тем не менее, на большинство вредоносных программ предназначены для майнинга именно Monero и Bitcoin, так как готовые скрипты находятся в свободном доступе.

Киберпреступники также разрабатывают вредоносные майнеры для появляющихся криптовалют. Эта модель привлекательна тем, что после первичного размещения токенов они находятся на пике своей стоимости, и лишь затем их курс начинает снижаться. Злоумышленники почти сразу обменивают добытые с помощью незаконного майнинга появляющиеся криптовалюты на уже устоявшиеся, а затем монетизируют их в рублях или долларах США.

Атаки криптомайнеров на Apple iPhone

17 октября 2018 года компания Check Point Software Technologies Ltd., поставщик решений кибербезопасности, выпустила отчет Global Threat Index за сентябрь 2018 года. Исследователи отмечают, что количество атак майнеров криптовалюты на устройства Apple iPhone увеличилось почти на 400%. Атаки проводятся при помощи вредоносного ПО Coinhive, которое занимает верхнюю строчку в рейтинге Global Threat Index с декабря 2017 года. Подробнее здесь.

Почти четверть компаний сталкивались с вредоносным ПО для криптоджекинга

20 сентября 2018 компания Fortinet представила результаты последнего всемирного исследования угроз. По данным исследования, в последнее время киберпреступники применяют более изобретательные стратегии работы с эксплойтами и действуют более оперативно. Кроме того, они добиваются максимальной эффективности своей преступной деятельности за счет использования очередных направлений атак и совершенствуют их методики при помощи итерационного подхода. Основные выводы, изложенные в отчете:

  • Целью опасного эксплойта может стать любая фирма. На сентябрь 2018 года выявленных критических угроз и атак высокой степени серьезности можно говорить о тревожной тенденции: 96% фирм по крайней мере один раз сталкивались с серьезными угрозами. Ни одна фирма в полной мере не застрахована от рисков, связанных с постоянно развивающимися атаками. Кроме того, почти четверть компаний сталкивались с вредоносным ПО, предназначенным для криптоджекинга. Для поражения более 10% корпоративных сетей использовались всего шесть разновидностей вредоносных программ. Также за прошедший квартал отделом FortiGuard Labs было выявлено 30 уязвимостей «нулевого дня».
  • Криптоджекинг начал представлять собой угрозу для бытовых устройств IoT. Киберпреступники продолжают заниматься майнингом криптовалют. В число их целей вошли устройства IoT, в том числе бытовые мультимедийные устройства. Они особенно привлекательны для злоумышленников в силу большой вычислительной мощности, которую можно направить на достижение преступных целей. Злоумышленники используют эти постоянно подключенные к сети устройства в своих интересах, загружая вредоносные программы, предназначенные для непрерывного майнинга. Кроме того, интерфейсы таких устройств используются в качестве модифицированных веб-браузеров, что усугубляет их уязвимость и способствует появлению очередных направлений атак. По мере распространения этой тенденции все большее значение для безопасности подключенных к корпоративным сетям устройств будет приобретать сегментация.
  • Тенденции в сфере разработки ботнетов свидетельствуют об изобретательности киберпреступников. Данные о тенденциях в сфере разработки ботнетов дают представление о подходах, при помощи которых злоумышленники повышают эффективность существующих атак. Очередной вариант ботнета Mirai, известный под названием WICKED, включает не менее трех эксплойтов, ориентированных на поражение уязвимых устройств IoT. Также серьезной угрозой является спонсируемая государством передовая атака VPNFilter, которая нацелена на поражение сред SCADA/ICS путем мониторинга протоколов MODBUS SCADA. Это особенно опасно, поскольку разработанная злоумышленниками технология не только извлекает данные, но и может привести к полной потере работоспособности как отдельных устройств, так и их групп. Угроза Anubis, являющаяся разновидностью угроз семейства Bankbot, оснащена рядом очередных технологий. Она поддерживает функции программы-вымогателя, клавиатурного шпиона, RAT, перехвата SMS, блокировки экрана и переадресации вызовов. В условиях появления все более изощренных, постоянно изменяющихся атак крайне важно отслеживать тенденции их развития при помощи актуальных данных об угрозах.
  • Использование злоумышленниками гибких технологий разработки вредоносного ПО. Разработчики вредоносного ПО уже давно используют свойство полиморфизма для обхода механизмов выявления атак. Как показывают тенденции 2018 года, преступники все чаще обращаются к гибким методикам разработки в целях усложнения выявления вредоносного ПО и противодействия тактикам защиты от вредоносных программ. В 2018 году было обнаружено множество версий угрозы GandCrab, и разработчики этой вредоносной программы регулярно обновляют ее. Таким образом, к числу факторов риска можно отнести не только автоматизацию атак с использованием вредоносного ПО, но и применение гибких технологий разработки, что свидетельствует о высокой квалификации злоумышленников в сфере создания более скрытных версий атак. Противодействие применяемым преступниками гибким методикам разработки требует внедрения передовых функций выявления угроз и защиты от них, при помощи которых можно устранить наиболее подверженные рискам уязвимости.
  • Эффективное поражение уязвимостей. Злоумышленники проявляют большую избирательность в выборе целей. На сентябрь 2018 года, в ходе анализа эксплойтов с точки зрения распространенности и количества случаев их выявления было обнаружено, что на практике преступники используют только 5,7% известных уязвимостей. Если подавляющее большинство уязвимостей не будет использовано, более целесообразно направить усилия на разработку превентивной стратегии устранения уязвимостей, часто становящихся проводниками атак.
  • Использование приложений в образовательных и государственных учреждениях. По результатам сравнения показателей на 2018 год использования приложений в различных отраслях можно сделать вывод, что частота использования SaaS-приложений в государственных учреждениях на 108 % превышает средний уровень. По данным на сентябрь 2018 года, по показателю общего количества ежедневно используемых приложений отрасль уступает только сфере образования: это значение на 22,5 % и 69 % выше среднего, соответственно. Вероятной причиной более высокого показателя использования приложений в этих двух отраслях является повышенная потребность в более широком разнообразии приложений. Действующие в этих сферах организации нуждаются в таком подходе к безопасности, который преодолевает разрозненность приложений, обеспечивая реализацию функций отслеживания и управления безопасностью во всех расположениях, в том числе в многооблачных средах развертывания приложений.

По информации компании, противодействие развивающимся атакам требует внедрения интегрированной системы безопасности, оснащенной функцией сбора данных об угрозах. Результаты проведенного исследования подтверждают многие из прогнозов на 2018 года, обнародованных отделом исследования угроз FortiGuard Labs. Залогом эффективной защиты от угроз является адаптивная система сетевой безопасности, охватывающая все направления атак и состоящая из интегрированных компонентов. Такой подход обеспечивает широкомасштабный сбор и оперативный обмен актуальными данными об угрозах, ускоряет их выявление и поддерживает автоматизированное принятие мер реагирования на современные атаки по разным направлениям.

Как сообщалось, в отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети датчиков с апреля по май 2018 года. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Также в отчете приведены сведения об основных уязвимостях «нулевого дня» и обзор тенденций развития инфраструктуры, благодаря которым можно выявить закономерности проведения кибератак во времени и предотвратить будущие атаки, направленные на организации.

Эксперты предупредили о новой угрозе криминального криптомайнинга

Эксперты в области кибербезопасности предупреждают об угрозе вредоносных приложений, содержащих скрытый код и способных захватить мобильные устройства для нелегального майнинга кприптовалют. Это могут быть как криптоджекинговые атаки, так и программы с троянским кодом. Несмотря на то, что интерес к криптовалютам медленно идет на спад, опасность заражения гаджетов высока. По данным «Лаборатории Касперского», количество пользователей, столкнувшихся с криминальными майнерами, в 2017–2018 гг. выросло на 44,5% по сравнению с 2016–2017 гг. Количество вредоносных объектов для мобильных устройств в первом полугодии 2018 г. увеличилось почти на 74% по сравнению с первым полугодием предыдущего года[9].

Добыча криптовалюты может принести прибыль, но при этом требует высоких первоначальных инвестиций и сопровождается серьезными затратами на электроэнергию. Это подтолкнуло хакеров к поиску альтернативных решений и, в частности, к использованию процессоров смартфонов. Вычислительная мощность мобильных телефонов, доступная злоумышленникам, относительно невелика, но таких устройств очень много и, следовательно, в общей совокупности они предоставляют большой потенциал, при этом, оставляя владельцам смартфонов расходы на электроэнергию и износ. Чаще всего для криминального майнинга мошенники используют несколько схем заражения устройств.

Интерес к скрытому майнингу криптовалюты спадает

Интерес киберпреступников к незаконному майнингу постепенно ослабевает в результате снижения цен на криптовалюту, следует из опубликованного MalwareBytes Labs отчета[10][11].

Согласно данным отчета, несмотря на то, что так называемый криптоджекинг (практика использования вычислительной мощности компьютера для майнинга криптовалюты без согласия или ведома владельца) остается сравнительно популярным, прослеживается тенденция к уменьшению числа инцидентов, связанных с данным методом.

«Мы не знаем, какая именно киберугроза станет наиболее популярной в следующем квартале, однако вряд ли это будет незаконный майнинг криптовалют», - отметили исследователи.

Как следует из доклада, злоумышленники теряют интерес к данному методу из-за недостаточно больших доходов. Недавнее снижение активности в основном касается обычных пользователей, в частности снизилось количество случаев обнаружения вредоносных программ для майнинга крипотвалют для ОС Windows, однако общее количество инцидентов за квартал остается сравнительно высоким.

Согласно отчету, после массового всплеска активности в конце 1-го квартала 2018 года, количество майнеров для Android-устройств также пошло на спад. При этом во втором квартале было зафиксировано почти в 2,5 раза больше случаев обнаружения майнеров для мобильных устройств.

Как утверждается в докладе, активность, связанная с сервисом Coinhive, позволяющим майнить криптовалюту в браузере пользователя, остается сравнительно высокой. Помимо этого, появляются и другие схожие сервисы, такие как Cryptoloot. По словам специалистов, злоумышленники все чаще «используют браузерные майнеры с открытым исходным кодом и адаптируют их для своих потребностей».

Китайские хакеры взломали более 1 млн компьютеров с целью майнинга криптовалюты

В июле 2018 года стало известно, что сотрудники китайской полиции арестовали 20 участников преступной группировки, взламывавшей и заражавшей компьютеры пользователей майнерами криптовалют. По данным местных СМИ, за два года злоумышленники, являвшиеся сотрудниками фирмы, специализировавшейся на компьютерных технологиях, заработали более $2 млн в криптовалюте[12].

Хакеры получали доступ к компьютерам с помощью кастомных плагинов, якобы помогающих усилить безопасность устройства или увеличить его производительность. Плагины распространялись посредством всплывающих рекламных объявлений.

Преступники предпочли добывать менее известную криптовалюту, в частности, DigiByte, Decred, Siacoin, поскольку для майнинга монет требуется меньше вычислительной мощности. Хакеры рассчитывали на то, что при задействовании менее 50% ресурсов их деятельность останется незамеченной пользователями или антивирусными решениями.

В Японии впервые дали тюремный срок за скрытый майнинг

В начале июля 2018 года стало известно о первом случае, когда дали реальный тюремный срок за криптоджекинг.

Как пишет портал ZDNet со ссылкой на издание Kahoku, 24-летний житель Японии Йошида Шинкару (Yoshida Shinkaru) был признан виновным в незаконной добыче криптовалют при помощи компьютеров пользователей без их согласия.

Как уточняет сайт Bitcoin.com со ссылкой на анонимный источник, Шинкару задействовал скрипт для майнинга криптовалюты Monero — Coinhive, включив его в игровую чит-утилиту. Эту программу, которая была размещена в блоге майнера, загрузили лишь 90 раз, прежде чего его разоблачили.

В начале июля 2018 года стало известно о первом случае, когда дали реальный тюремный срок за криптоджекинг

Coinhive изначально использоваться в качестве рекламного инструмента и обычно встраивается в браузере, однако Шинкару использовал инструмент в виде загружаемой составляющей. Даже в этом случае доказать состав преступления не составило труда. Многие блокировщики рекламы давно отключают Coinhive от работы в браузере.

Незаконную добычу криптовалют Йошида Шинкару вел с января по февраль 2018 года и за это время смог заработать лишь 5 тыс. иен (около $45). Несмотря на маленькую сумму заработка незадачливого пользователя приговорили к году тюрьмы с отсрочкой наказания на три года. То есть, обвиненный гражданин Японии останется на свободе, но, если он нарушит условия условного наказания, он отправится за решетку на год.

Стоит сказать, что использование чит-инструментов в онлайн-играх в Японии является незаконным, поскольку они запрещены законом о противодействии недобросовестной конкуренции.

24-летний японец стал первым осужденным за использование Coinhive, что теперь может стать прецедентом. Дело в том, что в конце июня 2018 года в Японии были задержаны еще 16 человек, которые так же занимались криптоджекингом. Их подозревают во взломе сайтов и встраивании в код скомпрометированных ресурсов скриптов Coinhive.[13]

Криптомайнеры атаковали 40% организаций во всем мире

Согласно отчету lobal Threat Impact Index за май 2018 года, подготовленному компанией Check Point Software Technologies, поставщиком решений в области кибербезопасности, криптомайнер Coinhive атаковал 22% организаций. Таким образом, по сравнению с апрелем (16%) количество атак увеличилось почти на 50%.

Пятый месяц подряд рейтинг топ-10 активных зловредов Check Point Global Threat Index возглавляет криптомайнер. В мае Coinhive по-прежнему сохраняет первенство среди самых распространенных вредоносных программ. Еще один криптомайнер Cryptoloot расположился на втором месте (11%), на третьем — вредоносное рекламное ПО Roughted (8%).

Исследователи Check Point также отмечают, что киберпреступники продолжают эксплуатировать незакрытые серверные уязвимости Microsoft Windows Server 2003 (CVE-2017-7269) и Oracle WebLogic (CVE-2017-10271) для атак на корпоративные сети. В мировом масштабе 44% организаций подверглись атакам на уязвимости Microsoft Windows Server 2003, 40% — на Oracle WebLogic и 17% были подвержены влиянию внедрения SQL-кода, говорится в отчете Check Point.

В целом вредоносный криптомайнинг затронул почти 40% организаций в мае и продолжает быть самой распространенной киберугрозой, заключили эксперты компании. Очевидно, что злоумышленники считают этот метод прибыльным и эффективным.

Самыми активными зловредами в мае 2018 года названы:

  • CoinHive — криптомайнер, предназначенный для добычи криптовалюты Monero без ведома пользователя, когда тот посещает веб-сайты.
  • Cryptoloot — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.
  • Roughted — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.

В рейтинге самого активного вредоносного ПО для атак на российские организации расположились уже упомянутые криптомайнеры. Так, самыми активными зловредами стали вредоносные криптомайнеры Cryptoloot (40%) и Coinhive (36%), за ними на третьем месте расположился набор эксплоитов Rig EK (21%).

Lokibot, банковский троян для Android, который предоставляет привилегии суперпользователя для загрузки вредоносного ПО, в мае стал самым популярным вредоносным ПО, используемым для атаки на мобильные устройства организаций, за ним следуют Triada и Lotoor.

Самые активные мобильные зловреды мая 2018:

  • Lokibot — банковский троян для Android, который крадет пользовательские данные и требует за них выкуп. Зловред может заблокировать телефон, если удалить его права администратора.
  • Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам.
  • Lotoor — инструмент для взлома, который использует уязвимости в ОС Android, чтобы получить привилегии суперпользователя на взломанных мобильных устройствах.

Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. На первом месте — уязвимость CVE-2017-7269 (переполнение приемного буфера Microsoft IIS WebDAV ScStoragePathFromUrl) с глобальным охватом 46%, затем CVE-2017-10271 (удаленное выполнение кода Oracle WebLogic WLS) — 40%, на третьем месте — уязвимость типа «внедрение SQL-кода», затрагивающая 16% организаций во всем мире.

Приложения со скрытыми майнерами в Google Play загрузили сотни тысяч раз

В начале апреля 2018 года антивирусная компания «Лаборатория Касперского» сообщила о присутствии в каталоге Google Play приложений, которые втайне от пользователей добывают криптовалюту. Некоторых из таких программ загрузили более 100 тыс. раз, сообщает издание ZDNet.

Среди приложений со встроенными криптовалютными майнерами — игры, VPN-сервисы и программа для вещания спортивных трансляций.

В Google Play обнаружили приложения со скрытыми майнерами

Одно из таких приложений — PlacarTV с встроенным в майнером Coinhive, добывающим криптовалюту Monero, — было скачана с Google Play более 100 тыс. раз. PlacarTV удалили из магазина только после того, как эксперты «Лаборатории Касперского» указали на ее опасность.

Однако не все такие нежелательные программы быстро удаляются из Google Play. Так, приложение для создания VPN-соединения Vilny.net, в которое, по данным «Лаборатории Касперского», тоже встроен майнер, по-прежнему доступно для скачивания к моменту написания статьи.

Интересно, что оно Vilny.net уровень заряда устройства и его температуру — таким образом риск обнаружения снижается до минимума. Приложение скачивает исполняемый файл майнера с сервера и запускает его в фоновом режиме. Vilny.net скачали более 50 тыс. раз, большая часть загрузок пришлась на Россию и Украину.

Особую опасность обнаруженных криптомайнеров эксперты объясняют тем, что программы действительно выполняют заявленные в описании полезные функции, а потому работу скрытого модуля сложно заметить. Например, майнеры оказались встроены в программы, предназначенные, судя по официальному описанию, для просмотра футбола.

Чтобы не стать жертвой незаконного майнинга, в «Лаборатории Касперского» рекомендуют выполнять следующее: обращать внимание на беспричинную разрядку или сильное нагревание устройства, проверять репутацию разработчиков перед загрузкой программы и пользоваться антивирусом.[14]

42% компаний во всем мире пострадали от криптомайнинга

Согласно данным Check Point Software Technologies, поставщика решений в области кибербезопасности, от незаконной добычи криптовалюты в феврале 2018 года пострадало 42% компаний во всем мире. Информация об этом содержится в отчете Global Threat Impact Index.

Исследователи Check Point выявили три различных варианта вредоносных криптомайнеров, которые вошли в топ-10 активных зловредов. Первое место рейтинга сохраняет CoinHive, который атаковал каждую пятую организацию в мире. На второе место поднялся Cryptoloot, в феврале вредоносный майнер атаковал вдвое больше компаний, чем в предыдущем месяце. По данным Check Point, в январе от Cryptoloot пострадало 7% организаций, а в феврале — уже 16%. Следом за криптомайнерами расположился набор эксплойтов Rig EK, который занял третье место рейтинга благодаря атакам на 15% компаний мира.

«
На протяжении последних четырех месяцев мы видим заметный рост распространения криптомайнеров. Эта постоянная угроза значительно замедляет работу ПК и серверов, — отметила Майя Горовиц, руководитель группы Threat Intelligence, Check Point Software Technologies. — Однажды проникнув в сеть, криптомайнеры могут также быть использованы для выполнения других злонамеренных действий. Именно поэтому компаниям как никогда важно применять многоуровневую стратегию кибербезопасности, которая защитит от известных зловредов и отметит новые угрозы.
»

По данным Check Point, в феврале 2018 количество атак на российские компании сохранилось на прежнем уровне. Россия заняла в рейтинге Global Threat Index 73 место, при этом в топ-3 активных зловреда, атакующих российские организации, также вошли Coinhive и Cryptoloot.

Больше всего в феврале атакам подверглись Ботсвана, Камерун и Новая Каледония. Меньше всего атаковали Лихтенштейн, Гернси и Киргизстан.

Самыми активными мобильными зловредами февраля 2018 года стали:

  • Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам.
  • Lokibot — банковский троян для Android, который крадет пользовательские данные и требует за них выкуп. Зловред может заблокировать телефон, если удалить его права администратора.
  • Hiddad — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей.

Специалисты Check Point отметили на карте уровень киберугроз по странам (зеленый — низкий уровень риска; красный — высокий; белый — недостаточно данных):

ThreatCloud Map

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов.

Хакеры будут майнить с помощью бытовой техники

Основная статья Умный дом

Эксперты американской аналитической компании Stratfor пришли к выводу, что хакеры смогут в будущем использовать «умный дом» для добычи криптовалюты, сообщают в феврале 2018 года «Известия»[15].

Опасность грозит всем устройствам, входящим в систему «умного дома». Предположительно хакеры смогут майнить посредством прямой атаки или же заражением техники вирусом.

«Взломщики смогут подключаться к любому устройству, будь то осветительный прибор или посудомоечная машина: таким образом у хакеров появляется центральный узел, на который они и будут направлять свою атаку», – заявил вице-президент компании Скотт Стюарт.

Также аналитики считают, что взломщиков будут первочерёдно интересовать программные ассистенты, поскольку у них есть полный доступ к технике пользователя.

От криптомайнеров пострадала каждая пятая компания

Согласно отчету Check Point Software Technologies Global Threat Intelligence Trends за второе полугодие (июль – декабрь) 2017 года, киберпреступники все чаще используют криптомайнеры, а организации по всему миру продолжают подвергаться атакам программ-вымогателей и вредоносных рекламных программ. Так, по данным исследователей, за период с июля по декабрь 2017 года. от незаконного майнинга криптовалюты пострадала каждая пятая компания. С помощью этого вредоносного ПО киберпреступники получают доступ к ресурсам центрального процессора или видеокарты на ПК жертвы и используют их для добычи криптовалют. Уровень потребления может достигать 65% мощности ЦП.

Ключевые тренды киберугроз:

  • Ажиотаж вокруг майнинга криптовалюты.
    • Программы-криптомайнеры чаще всего используются для майнинга криптовалюты в личных целях. Однако из-за растущего внимания общества к виртуальным деньгам процесс майнинга, который напрямую зависит от числа владельцев криптовалют, затормозился. В результате для майнинга требуется намного больше вычислительной мощности, что побуждает хакеров придумывать новые способы незаконного использования ресурсов.

  • Эксплойты теряют популярность.

    • Еще год назад эксплоит-киты были одним из главных векторов атак. Однако в 2017 году они применялись значительно реже, потому что платформы и программы, которые уже становились жертвами эксплойтов, улучшили свою защиту. «Срок годности» новых эксплойтов сокращается и благодаря оперативным совместным действиям вендоров по безопасности и разработчиков софта и автоматическим обновлениям ПО.

  • Рост мошенничества и вредоносного спама.

    • В течение 2017 года соотношение между зловредами, которые используют протоколы HTTP и STMP, сместилось в сторону SMTP. Объем таких атак вырос с 55% в первом полугодии до 62% во втором. Популярность этих методов распространения привлекла внимание опытных хакеров. Они применяют свои умения для взлома документов, в особенности Microsoft Office.

  • Мобильное вредоносное ПО вышло на уровень предприятий.

    • В течение 2017 года фиксировались атаки на компании, источниками которых стали мобильные устройства. Так, смартфоны и планшеты, зараженные зловредом MilkyDoor, использовались в качестве серверов-посредников для сбора конфиденциальных данных из корпоративной сети. Еще один пример мобильных угроз — вредоносное ПО Switcher, которое пытается взломать элементы сети (например, маршрутизаторы) и перенаправить трафик на подконтрольный хакерам сервер.

Среди других тенденций киберугроз в Check Point отметили также следующие:

  • программы-вымогатели, появившиеся еще в 2016 году, остаются серьезной угрозой. Их используют как для масштабных атак по всему миру, так и для целевых нападений на конкретные организации.
  • 25% взломов за отмеченный период были сделаны через уязвимости, обнаруженные более десяти лет назад.
  • Менее 20% атак проводились через бреши в защите, которые известны около двух лет.

Топ-3 вредоносного ПО

  1. Roughted (15,3%) — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.
  2. Coinhive (8,3%) — программа-криптомайнер, разработанная для онлайн-майнинга криптовалюты Monero без ведома пользователя при посещении им определенных сайтов. Зловред Coinhive появился только в сентябре 2017 года, но уже успел заразить 12% организаций по всему миру.
  3. Locky (7,9%) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.


Топ-3 программ-вымогателей

  1. Locky (30%) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.
  2. Globeimposter (26%) — вымогатель, замаскированный под шифровальщик Globe ransomware. Был обнаружен в мае 2017 года и распространялся с помощью спам-кампаний, вредоносной рекламы и эксплойт-китов. После шифрования программа добавляет расширение .crypt к каждому зашифрованному файлу.
  3. WannaCry (15%) — вымогатель, который получила широкое распространение во время крупномасштабной атаки в мае 2017 года. Он распространяется по сетям с помощью эксплоита для блока серверных сообщений (SMB) Windows под названием EternalBlue.


Топ-3 мобильных зловредов

  1. Hidad (55%) — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
  2. Triada (8%) — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, чтобы они могли внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
  3. Lotoor (8%) — инструмент взлома, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.


Топ-3 вредоносного ПО для банков

  1. Ramnit 34% — банковский троян, который похищает данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.
  2. Zeus 22% — троян, который атакует устройства на платформе Windows и часто используется для кражи банковской информации с помощью технологий типа «человек-в-браузере» — кейлоггинга и захвата содержимого форм.
  3. Tinba 16% — банковский троян, который похищает данные учетных записей пользователя с помощью веб-инъекций. Они активируются, когда пользователь пытается зайти на сайт своего банка.

Вирус-майнер WannaMine

На смену вирусу-вымогателю WannaCry, который активно паразитировал в 2017 году, пришёл обновлённый вирус-майнер WannaMine, сообщает «Газета.ру».

Он тоже успешно занимается незаконной добычей криптовалюты за счет чужих компьютерных мощностей. WannaMine, как и предшественник WannaCry, был создан на основе базы эксплойта EternalBlue. Эта программа, находящая уязвимости в программном обеспечении, была также «создателем» и вируса Petya. Считается, что EternalBlue создали в Агентстве национальной безопасности США. Вирус поражает ПК пользователей с целью скрытого майнинга виртуальной валюты Monero.

Существует множество способов заражения: WannaMine может попасть на устройство через устанавливаемый файл или же прямой атакой на ПК. Далее вирус использует инструмент Mimikatz для получения данных. Если взломать систему не получается, вирус задействует пресловутый эксплойт. Если компьютер связан локальной или корпоративной сетью с другой техникой, то WannaMine использует эту возможность для заражения других ПК.

Помимо того, что вирус незаконно майнит, он сильно понижает работоспособность техники. Следует отметить, что антивирусы его не выявляют и, тем более, не устраняют его. Если же вирус получилось обнаружить, единственный верный способ избавиться от него: создать резервную копию всех данных, форматировать накопитель, а потом переустановить операционную систему и программы.

В YouTube нашли скрытые майнеры криптовалюты

Криптовалюту научились добывать даже на самом популярном видеохостинге YouTube, сообщило издание Arstechnica[16].

Добыча криптовалюты за счет мощностей чужих компьютеров осуществляется с помощью рекламы. Программисты встраивают специальный код в рекламные сообщения через платформу DoubleClick от компании Google, добывать же валюту позволяя с помощью сервиса CoinHive.

Когда пользователи просматривают ролик с данным вредоносным кодом, мошенники добывают за их счет криптовалюту Monero. В свою очередь, эти пользователи получают большую нагрузку на свои компьютеры.

Обнаружить данную схему удалось обычным пользователям с помощью антивирусной программы Avast. После этого Google заблокировала доступ к соответствующим рекламным объявлениям.

Check Point: криптомайнеры атаковали 55% компаний в мире

Компания Check Point зафиксировала в декабре резкий рост распространения вредоносного ПО для майнинга криптовалюты. Исследователи Check Point обнаружили, что в декабре криптомайнеры атаковали 55% компаний во всем мире. При этом 10 разновидностей этого вредоносного ПО попали в топ-100 самых активных киберугроз, а два из них вошли в тройку лидеров. Используя криптомайнеры злоумышленники захватывают контроль над центральным процессором или видеокартой и используют их ресурсы для добычи криптовалюты.

Check Point обнаружил, что вредоносное ПО для майнинга криптовалюты целенаправленно внедрялось в популярные веб-сайты без ведома пользователей, большинство таких сайтов — это сервисы стриминговых медиа и файлообменники. Хотя в основном такие сервисы являются легальными, их можно взломать, чтобы генерировать больше мощности и получать доход, используя до 65% ресурсов ЦП пользователя.

«Пользователи все чаще используют ПО для блокировки рекламы, поэтому веб-сайты стали использовать ПО для майнинга криптовалюты в качестве альтернативного источника дохода, — отмечает Майя Хоровиц, руководитель группы Threat Intelligence компании Check Point Software Technologies. — К сожалению, зачастую это происходит без ведома пользователей, чьи процессоры используются для криптомайнинга. Вероятно, мы будем наблюдать, как эта тенденция возрастет в ближайшие несколько месяцев».

В декабре ПО для майнинга криптовалюты CoinHive сместило с лидирующей позиции вредоносную рекламу RoughTed, в то время как набор эксплойтов Rig ek сохранил второе место рейтинга. Новый криптомайнер Cryptoloot замкнул тройку самых активных зловредов декабря, впервые войдя в топ-10.

Эксперты Check Point выявили ключевые тренды киберугроз во втором полугодии 2017:

  • Ажиотаж вокруг майнинга криптовалюты. Программы-криптомайнеры чаще всего используются для майнинга криптовалюты в личных целях. Однако из-за растущего внимания общества к виртуальным деньгам процесс майнинга, который напрямую зависит от числа владельцев криптовалют, затормозился. В результате для майнинга требуется намного больше вычислительной мощности, что побуждает хакеров придумывать новые способы незаконного использования ресурсов.
  • Эксплойты теряют популярность. Еще год назад эксплоит-киты были одним из главных векторов атак. Однако в 2017 г. они применялись значительно реже, потому что платформы и программы, которые уже становились жертвами эксплойтов, улучшили свою защиту. «Срок годности» новых эксплойтов сокращается и благодаря оперативным совместным действиям вендоров по безопасности и разработчиков софта и автоматическим обновлениям ПО.
  • Рост мошенничества и вредоносного спама. В течение 2017 года соотношение между зловредами, которые используют протоколы HTTP и SMTP, сместилось в сторону SMTP. Объем таких атак вырос с 55% в первом полугодии до 62% во втором. Популярность этих методов распространения привлекла внимание опытных хакеров, владеющих более совершенными практиками взлома. Они применяют свои умения для взлома документов, в особенности Microsoft Office.
  • Мобильное вредоносное ПО вышло на уровень предприятий. В течение прошлого года мы видели атаки на компании, источниками которых стали мобильные устройства. Так, смартфоны и планшеты, зараженные зловредом MilkyDoor, использовались в качестве серверов-посредников для сбора конфиденциальных данных из корпоративной сети. Еще один пример мобильных угроз — вредоносное ПО Switcher, которое пытается взломать элементы сети (например, маршрутизаторы) и перенаправить трафик на подконтрольный хакерам сервер.

Сайт Минздрава Сахалина использовался для добычи криптовалюты за счет ресурсов посетителей

На сайте электронной регистратуры, через которую можно записаться в ряд лечебных учреждений на Сахалине, неопределенное время работал скрипт, добывающий криптовалюту с помощью ресурсов компьютеров посетителей этого ресурса. Такое открытие сделал один из пользователей новостного и сервисного портала Сахалина и Курил sakh.com[17].

После обращения этого пользователя в региональный минздрав скрипт с сайта был удален. «Сколько пользователей "пожертвовали" свои ресурсы ради обогащения предприимчивого системного администратора регистратуры или неизвестного злоумышленника, не установлено», — сообщает новостной ресурс sakh.com — sakhalin.info.

«
«На сайт был внедрен JavaScript-файл. Он работал, только пока у пользователя была открыта вкладка с сайтом, никакого влияния на устройство после отключения от портала не оказывал», — рассказал один из программистов Sakh.com.
»

По мнению его коллег, вероятнее всего вредоносный код добывал криптовалюту monero — электронных монет с нетрадиционной криптографией для обеспечения повышенной анонимности пользователей.

2017

Мессенджер Facebook использовали для майнинга

Неизвестные хакеры взломали мессенджер популярной социальной сети и запустили в его программе вирус для майнинга, сообщает портал Coinspot[18].

Специалисты из TrendLabs, заведующие кибербезопасностью, обнаружили новый вирус. Этот вирус, бот-майнер, активизируется при использовании Facebook Messenger. Используя ресурсы гаджета, виртуальный майнер качает криптовалюту Monero. Ему уже дали название – Digmine.

Digmine содержится только в десктопной версии Messenger, в файле «video_xxxx.zip». Сразу же при открытии приложения вирус докачивает необходимые для майнинга компоненты, а после начинает добывать виртуальную валюту. Но на этом ничего не заканчивается: кибервирус также устанавливает в браузере Chrome нужное расширение, благодаря которому получает доступ к данным в Facebook, затем он передаётся дальше по интернету.

Изначально Digmine был обнаружен в Южной Корее, затем он появился и в других странах: Азербайджане, Украине, Вьетнаме, Филиппинах, Таиланде и Венесуэле. Скорость распространения вредоносного ПО очень большая, и эксперты считают, что в скором времени бот обнаружит себя и в других странах. Само заражение совершается через ссылки на видеофайлы в браузере Google Chrome и в приложение Facebook Messenger.

В Opera появится функция защиты от майнеров криптовалюты

Основная статья: Opera веб-браузер

Opera станет первым браузером, в котором будет реализована защита от майнеров, встроенных в сайты и использующих мощности компьютеров пользователей для добычи криптовалюты. Функция под названием NoCoin находится на конец 2017 года на стадии разработки, сообщает Bleeping Computer. Она включена в Opera 50 Beta RC и должна появиться в стабильной версии Opera 50, которая выйдет в январе 2018 года.

Провайдер WiFi для Starbucks заражал приложением для майнинга устройства посетителей

Известная мировая сеть кофеен Starbucks была замечена в неприятном инциденте с криптовалютами. Выяснилось, что в столице Аргентины Буэнос-Айресе провайдер кофейни использовал Wi-Fi заведения для майнинга. При подключении к бесплатному интернету в технике клиентов активировался код CoinHive, предназначенный для добычи криптовалюты, сообщает Cointelegraph[19].

На это обратил внимание глава разработчика сервиса корпоративной почты Stensul Ноа Динкин. Во время посещения кафе он заметил десятисекундную задержку при подключении ноутбука. При выяснении причины маленькой проблемы, он выявил специальный скрипт-код, который используется для майнинга криптовалюты Monero.

Спустя некоторое время представитель сети заверил пользователей, что в компании уже разобрались с этой проблемой, выйдя на связь со своим интернет-провайдером, и теперь клиенты могут спокойно подключаться к интернету, не боясь, что их технику будут как-либо использовать. Также представитель Starbucks подчеркнул, что данная проблема касалась только сети в Буэнос-Айресе, а в кофейнях других городов и других стран такого не происходило.

На официальном сайте D-Link обнаружен майнер криптовалюты

Исследователи безопасности из компании Seekurity обнаружили на сайте D-Link (dlinkmea[.]com) Javascript-майнер, позволяющий добывать криптовалюту Monero[20][21].

Исследователям стало известно о проблеме после того, как пользователь соцсети Facebook Ахмед Самир (Ahmed Samir) сообщил, что во время посещения сайта нагрузка на центральный процессор резко возросла. При каждом открытии страницы загружался отдельный домен со скрытым элементом iframe, содержащий скрипт, позволяющий майнить криптовалюту прямо в браузере пользователя.

После того, как исследователи уведомили D-Link об инциденте, компания полностью отключила web-сайт и начала перенаправлять пользователей на американскую версию ресурса (us.dlink.com). По словам исследователей, полное отключение сайта вместо удаления одной строки кода со скрытым элементом iframe может свидетельствовать о кибератаке на портал D-Link.

В Google Chrome может появиться защита от криптомайнеров

Инженеры Google рассматривают возможность добавления в браузер Google Chrome специальных инструментов, которые будут препятствовать майнингу криптовалюты.

Дискуссии на тему программ-майнеров, встроенных в сайты и работающих прямо в браузере, в компании ведутся с середины сентября 2017 года, когда был запущен первый проект такого рода - Coinhive[22].

Как сообщил один из разработчиков Chrome Ойан Вафай (Ojan Vafai), противостоять скрытым майнерам предлагается[23] по следующей схеме: если сайт использует больше чем X% процессорных мощностей в течение Y секунд, то такая страница будет переведена в «энергосберегающий режим», в котором активность всех подозрительных процессов будет жестко ограничена. Затем на экране отобразится всплывающее уведомление, позволяющее пользователю отключить данный режим. Если вкладка, находящаяся в «энергосберегающем режиме» неактивна, то выполнение процессов полностью прекращается.

Применение данного метода пока находится на стадии обсуждения и официально не одобрено Google. Как заявили представители компании, на данный момент нет возможности заблокировать встроенные в сайты майнеры полностью, поскольку разработчики ПО для майнинга могут с легкостью модифицировать код для обхода блокировки. Пока для блокировки работы криптомайнеров пользователи могут установить расширения наподобие AntiMiner, No Coin и minerBlock.

500 млн компьютеров используются для тайного майнинга криптовалюты

Торрент-трекер The Pirate Bay был уличен в тайном майнинге криптовалюты за счет пользователей и, судя по всему, его примеру последовали сотни других ресурсов. По данным экспертов Adguard[24], 2,2% сайтов из рейтинга ТОП-100000 Alexa переняли практику и теперь применяют различные майнеры, предназначенные для использования мощностей центральных процессоров компьютеров для добычи криптовалюты[25].

Наиболее распространенными майнерами криптовалюты являются CoinHive и JSEcoin.

В общей сложности исследователи обнаружили 220 сайтов, запускающих процесс майнинга в момент, когда пользователь открывает главную страницу ресурса. Суммарно аудитория данных сайтов составляет примерно 500 млн пользователей. По оценкам Adguard, данные домены всего за три недели заработали порядка $43 тыс. без каких-либо затрат. Наибольшее число сайтов-«майнеров» зафиксировано в США (18,66%), Индии (13,4%), России (12,44%) и Бразилии (8,13%).

В основном в числе сайтов, добывающих криптовалюту за счет пользователей, торрент-трекеры, пиратские ресурсы, сайты «для взрослых» и т.п. Подобные сомнительные ресурсы, как правило, не получают большого заработка от рекламы, поэтому они открыты для экспериментов и инноваций, поясняется в исследовании Adguard. Отметим, что иногда майнеры используются и на «белых» ресурсах – в конце сентября в подобной практике уличили сайты компании Showtime. К слову, 11 сентября пиратский ресурс The Pirate Bay вновь добавил код CoinHive, но отключить его уже нельзя. Как подсчитали специалисты, при условии, что администрация ресурса не будет отключать майнер, в месяц The Pirate Bay сможет зарабатывать примерно $12 тыс.

Постепенно антивирусы и блокировщики рекламы начинают блокировать скрипты криптомайнеров. При этом обычно пользователю предоставляется выбор - блокировать майнер или же разрешить ему работать.

Расширение для Google Chrome тайно майнит криптовалюту

В коде популярного расширения SafeBrowse (версия 3.2.25) для браузера Google Chrome в сентябре 2017 года обнаружен скрипт JavaScript, заставлявший браузеры пользователей майнить криптовалюту. Странное поведение расширения не осталось незамеченным, поскольку нагрузка на центральный процессор возрастала, что значительно влияло на производительность «инфицированного» компьютера[26].

В исходном коде расширения был обнаружен встроенный майнер Coinhive JavaScript Miner – браузерная версия алгоритма CryptoNight, используемого Monero, Dashcoin, DarkNetCoin и прочими криптовалютами. В настоящее время Coinhive JavaScript Miner поддерживает только майнинг Monero.

Данная проблема затрагивает практически всех пользователей, установивших SafeBrowse. Как выяснилось, сами разработчики SafeBrowse не подозревали о его странном поведении. По их словам, программа не обновлялась несколько месяцев, в связи с чем, они высказали предположение, что речь идет о взломе. Авторы SafeBrowse разбираются в ситуации совместно с командой Google.

Майнинг криптовалют вместо рекламы в интернете

В сентябре 2017 года стало известно о тестировании сайтами нового способа монетизации вместо традиционной рекламы. Речь идет о добыче (майнинге) криптовалют.

Один из крупнейших в мире торрент-трекеров Pirate Bay начал использовать компьютеры своих посетителей для добычи криптовалюты Monero. Скрытый код был использован на некоторых веб-страницах портала в качестве альтернативы распространению рекламы. Скрипт автоматически запускается при открытии страницы и использует мощности компьютера посетителя для добычи криптовалюты.

Скриншот страницы Pirate Bay
«
Как вы могли заметить, мы тестируем JavaScript для майнинга Monero. Это только тест. Мы действительно хотим избавиться от рекламы. Но также нам нужно достаточно денег, чтобы сайт продолжал функционировать, — говорится в блоге Pirate Bay.
»

Администрация сайта поясняет, что включение криптовалютного скрипта является экспериментом, цель которого — выяснить, сможет ли трекер получать достаточно прибыли без использования онлайн-рекламы. К 21 сентября 2017 года курс одной единицы Monero составляет около $94.

Эксперимент Pirate Bay начался без предупреждения пользователей. Порталу пришлось сделать официальное заявление после многочисленных жалоб посетителей сайта на высокую загрузку процессора во время визита на торрент-трекер. Некоторые пользователи заметили, что в коде сайта появился JavaScript-майнер, который и вызывал высокую нагрузку на компьютеры. 

Позже представители ресурса заявили, что высокая нагрузка на компьютеры вызвана технической недоработкой, и пообещали, что в будущем скрипт будет использовать не более 20-30% мощностей ПК и работать только в одной вкладке браузера. По словам представителей Pirate Bay, сайт может полностью отказаться от традиционной рекламы в пользу добытчиков криптовалюты.[27]

Данные «Лаборатории Касперского» по распространению криптоджекинга

Число атак хакеров, связанных с криптовалютными вредоносами, выросло на 50% в 2017 г. Такие данные приводит в своем исследовании «Лаборатория Касперского». Число пострадавших пользователей составила 2,7 млн человек против 1,9 млн годом ранее[28].

При этом отдельные группировки взломщиков зарабатывали на этом миллионы. Основными способами распространения майнеров стали потенциально нежелательные приложения, распространяемые через партнерские программы, а также выполняемые в браузере скрипты, наподобие Coinhive. Только этот скрипт программы «Лаборатории» блокировали более 70 млн раз.

Многие группы взломщиков ради увеличения прибыли атакуют не только простых пользователей, но и крупный бизнес, который привлекателен из-за наличия большей вычислительной мощности. Например, майнер Wannamine был распространен с помощью эксплойта EternalBlue во внутренних сетях ряда компаний, принеся своим создателям более $2 млн. На майнерах-ботнетах киберпреступники заработали более $7 млн во второй половине 2017 г, прибыль одной из групп составила $5 млн.

В сентябре 2017 года эксперты «Лаборатории Касперского» установили, что на сегодняшний день более 1,65 млн персональных компьютеров и других эндпойнтов заражены так называемыми майнерами криптовалют. [29]

За последние четыре года количество инцидентов с троянцами-майнерами выросло более чем в восемь раз. Пик пришелся на 2016 год, когда эксперты насчитали более 1,8 млн заражений.

В мире наблюдается эпидемия троянцев-майнеров криптовалют

Чаще всего троянцы-майнеры занимаются генерацией двух видов валют - Zcash и Monero. Поскольку обе эти разновидности криптовалюты поддерживают анонимные транзакции, они пользуются особым расположением у киберпреступников. Валюта Zcash появилась на свет только в конце 2016 года, но уже успела снискать изрядную популярность.

Сразу несколько крупных операций были отмечены в течение 2017 года.

  • В январе майнер Monero начала распространяться с помощью набора эксплойтов Terror Exploit Kit
  • Майнер малоизвестной валюты Adylkuzz распространялся с помощью эксплойта АНБ EternalBlue
  • Ботнет Bondnet распространил криптомайнер Monero на 15 тысячах машин, преимущественно серверах под управлением Windows Server.
  • Вредоносная программа Linux.MulDrop.14 занимается генерацией криптовалют на незащищенныъ устройствах Raspberry Pi с доступом в Сеть.
  • Эксплойт SambaCry использовался для распространения майнера EternalMiner на серверах Linux.
  • Майнер Trojan.BtcMine.1259 использовал еще один эксплойт АНБ - DoublePulsar - для заражения компьютеров под Windows.
  • Кампания CoinMiner использовала эксплойты EternalBlue и WMI для заражения жертв.
  • Ряд серверов Amazon S3 пали жертвой троянца Zminer.
  • Группировка CodeFork использовала бесфайловые вредоносы для распространения майнера Monero.
  • Группировка Hiking Club распространяла майнеры Monero через набор эксплойтов Neptune Exploit Kit.
  • Чит для игры Counter-Strike: Global Offensive заражал пользователей MacOS майнером для Monero.
  • Банковский троянец Jimmy обзавелся функциональностью майнера;

«
Причина столь рьяного распространения майнеров предельно проста, — отмечает Олег Галушкин, эксперт по безопасности компании SEC Consult Services. — Cейчас наблюдается бум криптовалют, их курсы относительно валют традиционных взлетели до небес, и киберзлоумышленники видят в этом хороший способ обогащения. В действительности же они сами стреляют себе в ногу, приближая момент краха криптовалют как явления. Впрочем, любой криминал «быстрые деньги» интересуют больше, чем возможные стратегические последствия.
»

Стоит отметить, что помимо вышеперечисленных крупных операций постоянно наблюдается множество менее масштабных предприятий по распространению криптомайнеров, и в целом есть все основания говорить о полновесной эпидемии.

Эксперты сообщили о росте киберпреступлений для майнинга в России

Компания "Лаборатория Касперского (Kaspersky)" выявила летом 2017 года несколько крупных бот-сетей из тысяч зараженных компьютеров для использования при добыче криптовалют - так называемом майнинге.

Эксперты констатировали, что в последнее время увеличилось число киберпреступлений, связанных с майнингом. Хакеры устанавливают специальное вредоносное ПО на компьютеры граждан и организаций, которое без ведома владельцев участвует в добыче виртуальной валюты.

По данным специалистов, чаще всего это происходит через установочные файлы каких-либо других программ, скачиваемых пользователями в интернете, а также через уязвимости в ПО[30].

Герман Клименко: 20-30% всех компьютеров в России заражены вирусом для майнинга биткоинов

Советник президента России по интернету Герман Клименко в интервью RNS в июле заявил о том, что 20-30% всех компьютеров в России заражено вирусом для майнинга биткоинов. «В регионах поменьше в силу отсутствия качества трафика, но считается, что 20-30% устройств заражено этим вирусом — айфоны и Mac поменьше», — пояснил Клименко РБК. [31]

Фото: ystav.com


По его словам, речь идет о бизнес-вирусе, который ворует данные — например, дебетовых карт — и перепродает их. При этом пользователи собственноручно запускают вирус на своих устройствах — посредством установки различных расширений.

Советник президента России по интернету также отметил, что установка вирусов для майнинга криптовалют — это на текущий момент самый прибыльный для хакеров бизнес.

«Самым распространенным и самым опасным вирусом следует считать тот вирус, который вскрывает сервер и ставит на него программу майнинга биткоинов», — указал Герман Клименко, отвечая на вопрос журналиста RNS о том, стоит ли ожидать более мощного повторения хакерской атаки вирусов, похожей на WannaCry.

Мнения игроков рынка информационной безопасности

В «Лаборатории Касперского» подтвердили слова Клименко о распространенности вирусов — майнеров биткоинов, однако не предоставили данные по масштабам заражения.

«Мы не располагаем информацией обо всех компьютерах в Москве и в России. Мы можем говорить только о наших пользователях. Среди них 6% в 2017 году подверглись атакам с целью установки майнеров, что делает это достаточно распространенным типом зловредных программ», — указал эксперт «Лаборатории Касперского» Антон Иванов (цитата по «Интерфаксу»).

Как он добавил, деятельность подобных зловредов заметно сказывается на производительности компьютеров, поскольку они используют вычислительные мощности устройства.

Со своей стороны, ведущий аналитик отдела развития «Доктор Веб» Вячеслав Медведев заявил РБК, что «если бы речь шла о 20-30%, это была бы эпидемия, и об этом бы знал каждый. Заражения майнерами есть, но сказать, что ими заражена треть пользователей, нельзя». По его словам, майнеры составляют порядка трети процента от всех найденных вредоносных программ.

См. также: Криптовалюты

Основная статья: Криптовалюты

Национальные криптовалюты (CBDC)

Криптовалюты в странах мира

Биткоин

Корпоративные криптовалюты

Сервисы

Инвестиции в криптовалютах

Майнинг



Примечания

  1. ИТ-ресурсы Вашей компании–это дойная корова для хакеров
  2. Новый вид денег - "криптовалюта" постепенно входит в моду. А вместе с ней появляется "криптолихорадка". Как защитить свой компьютер от алчности криптомайнеров? Комментарии экспертов Bitdefender Россия
  3. Операторы ботнетов используют блокчейн биткойна для сокрытия своей активности
  4. Айрат Хайруллин: «На 71 компьютере в госорганах РТ был обнаружен майнинг криптовалюты»
  5. Supercomputers hacked across Europe to mine cryptocurrency
  6. 38% компаний стали жертвами криптомайнеров в 2019 году
  7. Российские хакеры майнят криптовалюту на веб-страницах госорганизаций
  8. Attackers now use process hollowing to hide cryptocurrency miners on your PC
  9. CNews: Эксперты предупредили о новой угрозе криминального криптомайнинга
  10. Киберпреступники утратили интерес к майнингу криптовалюты
  11. Cybercrime tactics & techniques Q2 2018
  12. Китайские хакеры взломали более 1 млн компьютеров с целью майнинга криптовалюты
  13. Japan issues first-ever prison sentence in cryptojacking case
  14. Android security: Cryptocurrency mining-malware hidden in VPNs, games, and streaming apps, dowloaded 100,000 times
  15. Эксперты заявили об угрозе майнинга хакерами с помощью бытовой техники
  16. Now even YouTube serves ads with CPU-draining cryptocurrency miners
  17. Сайт минздрава использовался для добычи криптовалюты за счет ресурсов посетителей
  18. Через Facebook Messenger распространяется бот Digimine, который майнит Monero
  19. Starbucks Buenos Aires Accused of Cryptocurrency Mining Using Customer's Laptop
  20. На официальном сайте D-Link обнаружен майнер криптовалюты
  21. D-Link Middle East `DLink-MEA` website is secretly mining cryptocurrencies
  22. В Google Chrome может появиться защита от криптомайнеров
  23. Please consider intervention for high cpu usage js
  24. Cryptocurrency mining affects over 500 million people. And they have no idea it is happening.
  25. 500 млн компьютеров используются для тайного майнинга криптовалюты
  26. Расширение для Google Chrome тайно майнит криптовалюту
  27. Miner
  28. Число атак майнерами-вредоносами за год выросло наполовину
  29. Over 1.65 Million Computers Infected With Cryptocurrency Miners in 2017 So Far
  30. Эксперты сообщили о росте киберпреступлений для майнинга в России
  31. Клименко заявил о вирусе для майнинга биткоинов на 30% компьютеров