Wykop sobie milion: Kaspersky Lab identyfikuje wyrafinowany cybergang
Według badaczy z Kaspersky Lab cyberprzestępcy zaczęli stosować wyrafinowane metody i techniki infekcji, zapożyczone z ataków ukierunkowanych, w celu instalowania oprogramowania do wydobywania kryptowaluty na zaatakowanych komputerach PC w firmach.
Najbardziej skuteczne ugrupowanie zaobserwowane przez Kaspersky Lab zarobiło co najmniej 7 milionów dolarów, wykorzystując maszyny swoich ofiar przez zaledwie sześć miesięcy w 2017 r.
Chociaż rynek kryptowalut odnotowuje wzrosty i spadki, obserwowany w zeszłym roku skok wartości bitcoina znacząco zmienił nie tylko globalną ekonomię, ale również świat cyberbezpieczeństwa. Aby zarobić kryptowalutę, przestępcy zaczęli wykorzystywać w swoich atakach oprogramowanie, które — podobnie jak narzędzia ransomware — cechuje prosty model monetyzacji. Jednak w przeciwieństwie do oprogramowania ransomware koparki nie wyrządzają poważnych szkód użytkownikom i mogą pozostać niewykryte przez długi czas, zużywając ukradkowo moc obliczeniową zainfekowanego urządzenia. We wrześniu 2017 r. Kaspersky Lab odnotował wzrost liczby programów do kopania kryptowaluty (tzw. minery), które zaczęły aktywnie rozprzestrzeniać się na całym świecie, i przewidywał ich dalszy rozwój. Ostatnie badania ujawniają, że wzrost ten nie tylko trwał, ale także był zaskakująco rozległy.
Badacze z Kaspersky Lab zidentyfikowali niedawno ugrupowanie cyberprzestępcze posiadające zaawansowane techniki w swoim arsenale narzędzi służących do infekowania użytkowników szkodliwymi koparkami. Wykorzystywało ono metodę, która jest zwykle stosowana w szkodliwym oprogramowaniu i została zidentyfikowana w niektórych atakach ukierunkowanych przeprowadzanych przez zaawansowane cybergangi, ale nigdy wcześniej nie została zaobserwowana w atakach związanych z kopaniem kryptowaluty.
Atak jest przeprowadzany w następujący sposób: ofiara zostaje podstępnie nakłoniona do pobrania i zainstalowania oprogramowania reklamującego, które skrywa instalator koparki. Instalator ten zapisuje legalne narzędzie systemu Windows, którego głównym celem jest pobranie samego minera ze zdalnego serwera. Po aktywowaniu uruchamia się legalny proces startowy i jego legalny kod zostaje przekształcony w szkodliwy. W efekcie koparka działa pod przykrywką legalnego procesu, dlatego użytkownik nie jest w stanie rozpoznać infekcji. Również rozwiązania bezpieczeństwa mogą mieć problem z wykryciem tego zagrożenia. Ponadto jeśli użytkownik spróbuje zatrzymać proces, system uruchomi się ponownie. Tym samym przestępcy zapewnią sobie dłuższe przebywanie w systemie oraz produktywniej spędzony czas.
Z obserwacji badaczy z Kaspersky Lab wynika, że stojący za tymi atakami przestępcy kopali monety Electroneum i zarobili niemal 7 milionów w drugiej połowie 2017 r. – co można porównać z kwotami, które kiedyś zarabiali twórcy oprogramowania ransomware.
Widzimy, że oprogramowanie ransomware jest spychane w cień, ustępując tym samym miejsca szkodliwym koparkom kryptowaluty. Potwierdzają to nasze statystki, które pokazują stały wzrost liczby programów typu miner w ciągu roku, jak również fakt, że ugrupowania cyberprzestępcze aktywnie rozwijają swoje metody i już teraz zaczęły stosować bardziej wyrafinowane techniki w celu rozprzestrzeniania swoich narzędzi. Ta ewolucja już nastąpiła – atakujący wykorzystujący programy ransomware stosowali te same chwyty, kiedy odnotowały wzrost – powiedział Anton Iwanow, główny analityk szkodliwego oprogramowania, Kaspersky Lab.
Z danych Kaspersky Lab wynika, że w 2017 r. 2,7 mln użytkowników było atakowanych przez szkodliwe koparki — to około 50% więcej niż w 2016 r. (1,87 mln). Osoby te stawały się ofiarą w wyniku stosowania przez cyberprzestępców oprogramowania reklamowego (adware), zhakowanych gier oraz nielegalnego oprogramowania w celu ukradkowego infekowania komputerów PC. Innym stosowanym podejściem był „web mining” — kopnie kryptowalut za pośrednictwem specjalnego kodu umieszczonego na zainfekowanej stronie internetowej. Najszerzej wykorzystywanym programem typu miner był CoinHive, który został wykryty na wielu popularnych stronach internetowych.
Użytkownikom, którzy chcą zabezpieczyć się przed szkodliwymi koparkami, Kaspersky Lab zaleca następujące działania:
· Nie otwieraj nieznanych stron internetowych ani nie klikaj podejrzanych banerów czy reklam.
· Nie pobieraj ani nie otwieraj plików pochodzących z niezaufanych źródeł.
· Zainstaluj niezawodne rozwiązanie bezpieczeństwa, takie jak Kaspersky Total Security lub Kaspersky Internet Security, które wykrywa i chroni przed wszystkimi potencjalnymi zagrożeniami, łącznie z oprogramowaniem do kopania kryptowaluty.
Organizacjom Kaspersky Lab zaleca następujące działania:
· Regularnie przeprowadzaj audyt bezpieczeństwa w firmowej sieci.
· Zainstaluj niezawodne rozwiązanie bezpieczeństwa na wszystkich stacjach roboczych i serwerach i dopilnuj, aby wszystkie jego komponenty były włączone w celu zapewnienia maksymalnej ochrony. Klienci firmy Kaspersky Lab są chronieni przed szkodliwymi koparkami za pomocą rozwiązania Kaspersky Endpoint Security for Business.
Więcej informacji dotyczących ewolucji ataków z użyciem szkodliwych koparek kryptowaluty znajduje się na stronie https://kas.pr/f2b1.
Kluczowe trendy dotyczące ataków związanych z kopaniem kryptowaluty oraz najnowsze odkrycia dotyczące tego zagadnienia zostaną przedstawione przez badaczy z Kaspersky Lab podczas wydarzenia Security Analyst Summit, które rozpocznie się 9 marca 2018 r.: https://sas.kaspersky.com.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.