Бум криптовалют затронул также Армению, о чем свидетельствуют возросшие показатели реализации местными магазинами и заказов из зарубежных онлайн-магазинов мощных видеокарт для компьютеров, которые используются для майнинга криптовалюты. Эмиссию криптовалюты каждый может осуществлять сам, достраивая блокчейн при помощи математических вычислений и получая за это криптовалюту. И чем больше вычислений хочешь произвести, тем большие вычислительные мощности приходится задействовать и тем больше дорогого электричества расходовать.
Как сообщает пресс-служба представительства «Лаборатории Касперского в Армении, киберпреступники научились использовать чужие вычислительные мощности для майнинга, незаметно устанавливая программное обеспечение для майнинга (майнер) в чужое устройство или сеть. С сентября 2017 года по февраль 2018 года киберпреступники заработали с помощью внедрения майнингового ПО более 7 млн долларов. Aтаке «вредоносных майнеров» к началу марта 2018 года уже подверглись более 2,7 млн пользователей по всему миру — это более чем в 1,5 раза превышает показатели 2016 года, — и это число продолжает расти. И с целью внедрения майнеров киберпреступникам более выгодно использовать не столько компьютеры отдельных пользователей, а корпоративные сети из многих компьютеров.
Эксперты «Лаборатории Касперского» выявили, что первый способ внедрения майнеров несет все признаки технологий, используемых в продолжительных атаках повышенной сложности (APT), которые киберпреступники еще недавно широко применяли для проведения масштабных кампаний с программами-вымогателями. Теперь эти же методы — например, атаки с использованием печально известного эксплойта EternalBlue (через него распространялись нашумевшие шифровальшики NotPetya/ExPetr и WannaCry) — используются для распространения скрытых майнеров.
Другой способ установить скрытый майнер на компьютер пользователя — убедить его самого скачать дроппер, который затем закачает майнер. Обычно пользователя заманивают скачать дроппер, замаскировав его под рекламу либо бесплатную версию какого-либо платного продукта, ну или с помощью фишинга. После скачивания дроппер запускается на компьютере и устанавливает собственно майнер, а также специальную утилиту, которая маскирует майнер в системе. В комплекте с программой могут поставляться сервисы, которые обеспечивают ее автозапуск и настраивают ее работу: например, определяют, какую часть вычислительных мощностей может использовать майнер в зависимости от того, какие еще программы исполняются на компьютере, чтобы не вызывать замедления в работе системы и подозрений пользователя. Другая функция сервисов — не дать пользователю остановить майнер. Если пользователь его обнаружит и попытается отключить, компьютер просто начнет перезагружаться, а после перезагрузки майнер будет работать дальше. Что интересно, большая часть скрытых майнеров полагается на код обычных, вполне легитимных майнеров, что дополнительно усложняет их обнаружение.
Еще один способ нелегальной установки майнеров - веб-майнинг, или майнинг в браузере. Он становится возможным, если администратор сайта встраивает в него скрипт для майнинга, который начинает выполняться, если жертва заходит на сайт. Впрочем, это же может сделать и злоумышленник, если каким-то образом получит доступ к управлению сайтом. Пока пользователь находится на сайте, его компьютер работает на построение блоков блокчейна, а тот, кто установил скрипт, получает прибыль.
Среди охотников за криптовалютой наметился новый тренд: злоумышленники атакуют Kubernetes и Docker — инструменты, упрощающие развертывание и управление приложениями в облачных контейнерах. Взломав их, мошенники могут получить доступ к значительным вычислительным мощностям.
Стоит отметить, что взлом открытых серверов с целью скрытного криптомайнинга стал приобретать масштабы эпидемии. За последние месяцы любители быстрой наживы провели массовые атаки на серверы, работающих на PostgreSQL, Redis, OrientDB, Oracle WebLogic, Windows Server, Apache Solr, Jenkins и другие непропатченные и неправильно сконфигурированные серверы.
Мошенники, использующие чужие компьютеры для майнинга криптовалют, также нашли способ обмануть антиспам-расширения и запускать JavaScript-майнер Coinhive через рекламу в браузере, а также использовать торрент-сайты и клиенты: известен инцидент, когда российский торрент-сайт раздавал майнер Monero вместо торрентов.
Благодаря изощренным технологиям атак и сложности обнаружения киберпреступники получили возможность создавать настоящие ботнеты из компьютеров-жертв и использовать их для скрытого майнинга. Само собой, лакомым кусочком для преступников является бизнес-инфраструктура, обладающая большими вычислительными мощностями. Поэтому эксперты «Лаборатории Касперского» рекомендуют принять следующие меры для защиты бизнеса:
• установить защитные решения на все используемые компьютеры и серверы, чтобы не дать злоумышленникам шанса обосноваться внутри вашей инфраструктуры;
• регулярно проводить аудит корпоративной сети для поисков аномалий;
• периодически заглядывать в планировщик задач, который может использоваться злоумышленниками для запуска вредоносных процессов;
• не оставлять без внимания узкоспециализированные устройства вроде табло электронных очередей, POS-терминалов. Как показывает история с майнером, распространяющимся через эксплойт EternalBlue, все это оборудование тоже потенциально может зарабатывать кому-то криптовалюту, усиленно потребляя электроэнергию;
• использовать на узкоспециализированных устройствах режим запрета по умолчанию (Default Deny) — это позволит защитить их не только от майнеров, но и от многих других угроз. Режим запрета по умолчанию можно настроить при помощи решения Kaspersky Endpoint Security для бизнеса от «Лаборатории Касперского».
