Скрытый майнинг
Криптоджекинг
Cryptojacking
Майнерами называются программы, эксплуатирующие ресурсы вычислительного устройства для генерации различных криптовалют. Иногда пользователи могут устанавливать это ПО самостоятельно, но иногда речь идет о нелегитимной их разновидности. Такие программы устанавливаются без ведома и согласия пользователя и чаще всего распространяются с помощью всевозможных троянцев и других вредоносных программ.
Содержание
Майнинг (добыча) криптовалюты необходим для работы системы. Майнинг состоит из серии вычислений, осуществляемых для обработки транзакций в Блокчейн. Он создает новую криптовалюту и подтверждает транзакцию во всей блокчейн-сети. Чтобы больше создавать криптомонет, необходимо их добывать. Без майнинга система может рухнуть.
Многие пользователи сами стали заниматься майнингом, чтобы заработать деньги. Майнеры выполняют математические операции для подтверждения транзакций, а для этого они используют специальное ПО. Таким образом, чтобы майнинг был прибыльным, необходимо иметь огромные вычислительные мощности. Чтобы делать деньги на майнинге, кибер-преступники стали заниматься криптоджекингом (cryptojacking).
Криптоджекинг заключается в несанкционированном использовании устройств пользователя для добычи криптовалюты. В основном, хакеры используют вредоносное ПО для взлома компьютеров, планшетов или смартфонов, после чего используют их для скрытого майнинга криптовалют. Возможно, пользователь заметит небольшое снижение скорости работы его устройства, но вряд ли подумает о том, что это связано с попыткой атаки на него для майнинга криптовалют. Одна из наиболее распространенных техник заключается в том, чтобы получить контроль над процессором устройства жертвы (CPU) или процессором его видеокарты (GPU) через посещение какого-нибудь веб-сайта, зараженного вредоносной программой для майнинга криптовалют [1] .
Как происходит скрытый майнинг?
Чаще всего скрыто майнят пиратские популярные сайты: торрент-трекеры, форумы, сайты с фильмами и сериалами. Для того, чтобы начать майнить за счёт пользователя совершенно необязательно устанавливать на его компьютер троян или другую вирусную программу. Для этого достаточно ввести в код сайта специальный скрипт, который позволяет незаметно подключиться к системе гостей сайта. В принципе, обнаружить это достаточно просто. При таком вмешательстве загрузка процессора резко увеличивается практически до ста процентов. Однако, загружаемые торренты и без этого нагружают систему, что не позволяет определить майнинг [2] .
Для того, чтобы увидеть нагрузку процессора на Windows, нужно зайти в «Диспетчер задач» (Task Manager). В MacOS эту функцию выполняет программа «Мониторинг системы» (Activity Monitor).
Избежать скрытого майнинга можно несколькими способами:
- Установить специальное расширение, блокирующие веб-майнинг.
- Отключить JavaScript.
- Использовать надёжный антивирус. Антивирусные программы чаще всего видят майнеры, как потенциально безопасные, но при этом их можно использовать в зловредных целях, то есть, рискованные.
Как компания может защитить себя от криптоджекинга?
Такие атаки имеют серьезные последствия для предприятий. Наиболее очевидные последствия возникают в результате кражи ресурсов процессоров, что может замедлить работу систем и сетей, подвергнув предприятие и всю систему серьезным рискам. Более того, после того как компания была атакована, вполне вероятно, что потребуется достаточно много времени и средств для устранения данной проблемы. Интенсивный майнинг криптовалют также может иметь финансовые последствия для компаний, т.к. в результате повышенного использования ИТ-ресурсов должен наблюдаться рост потребляемой мощности, а это ведет к повышенным расходам на электроэнергию.
Кроме того, такие атаки могут нанести ущерб корпоративным устройствам. Если майнинг осуществляется в течение длительного периода времени, то устройства и их батареи часто испытывают чрезмерную нагрузку и перегрев, что также снижает ресурс работы этих устройств.
Конечно, не следует также забывать, что если вы стали жертвой криптоджекинга, то это означает, что хакеры смогли преодолеть ваши системы безопасности и получить контроль над корпоративными устройствами, подвергнув серьезному риску конфиденциальность корпоративных данных.
Чтобы защититься от возможной атаки по майнингу криптовалют, мы рекомендуем вам соблюдать следующие меры безопасности:
- Периодически проводите оценки рисков для выявления уязвимостей.
- Регулярно обновляйте все ваши системы и устройства.
- Внедряйте решения расширенной информационной безопасности, которые позволяют получить полную видимость активности на всех конечных устройствах и контролировать все запущенные процессы.
- Создайте безопасную среду для просмотра сайтов, установив расширения, которые препятствуют майнингу криптовалют.
Операторы ботнетов для майнинга криптовалюты используют блокчейн биткойна для сокрытия активности
Специалисты ИБ-компании Akamai рассказали о ботнете для майнинга криптовалюты, использующем для маскировки биткойн-транзакции. Об этом стало извесно 25 февраля 2021 года.
Описанный исследователями метод обфускации используется операторами длительной вредоносной кампании по добыче криптовалюты, в которой транзакции блокчейна биткойна используются для сокрытия адресов резервных C&C-серверов.
Ботнет получает команды от своих операторов с C&C-серверов. Правоохранительные органы и службы безопасности постоянно находят и отключают эти серверы, тем самым срывая вредоносные операции. Однако, если операторы ботнетов используют резервные серверы, отключение может существенно усложниться. По словам специалистов, киберпреступники научились прятать IP-адреса C&C-серверов с помощью блокчейна – простой, но эффективный способ избежать отключения.
Атака начинается с эксплуатации уязвимостей удаленного выполнения кода в Hadoop Yarn и Elasticsearch, в том числе CVE-2015-1427 и CVE-2019-9082. В некоторых случаях вместо прямого взлома киберпреступники модифицируют уязвимости для создания сканера серверов Redis, с помощью которого они находят дополнительные установки Redis с целью майнинга криптовалюты.
В декабре 2020 года специалисты Akamai обнаружили, что в появившиеся варианты вредоносного ПО для криптомайнинга были добавлены адреса биткойн-кошельков. Кроме того, был обнаружен URL-адрес API проверки кошелька и однострочные команды bash, и похоже, что полученные API данные кошелька использовались для расчета IP-адреса. Этот IP-адрес затем используется для сохранения постоянства на атакуемой системе. По словам исследователей, получая адреса через API кошелька, операторы вредоносного ПО могут обфусцировать и хранить данные конфигурации в блокчейне.
Чтобы преобразовать данные кошелька в IP-адрес, операторы используют четыре однострочных скрипта bash для отправки HTTP-запроса API проводника блокчейна для данного кошелька, а затем значения Satoshi (наименьшее заранее определенное значение биткойна) из двух последних транзакций конвертируются в IP-адрес резервного C&C-сервера [3] .
Конфискация 45 тысяч устройств для добычи биткоина в Иране
В середине января 2021 года полиция Ирана конфисковала приблизительно 45 тыс. ASIC-майнеров за то, что данное оборудование незаконно потребляло субсидированную электроэнергию в стране.
Глава иранской государственной электроэнергетической компании Tavanir Мохаммад Хасан Мотавализаде (Mohammad Hassan Motavalizadeh) сообщил, что майнеры, в основном использующие ASIC-устройства, потребляли 95 МВт-ч электроэнергии по очень низкой цене. Он отметил, что еще 45 МВт-ч электроэнергии было сэкономлено за счет внесения изменений в системы уличного освещения в Тегеране и других городах.
Иран инициировал новые меры по борьбе с незаконным майнингом криптовалют после недавнего решения о временном отключении авторизованных майнинговых ферм, чтобы предотвратить перебои с подачей электроэнергии в крупных городах. В видеороликах, распространенных в социальных сетях в начале января 2021 года фигурировала майнинговая ферма на юго-востоке Ирана, где функционировали десятки тысяч ASIC-майнеров. Минэнерго приостановило подачу электроэнергии на ферму, принадлежащую китайско-иранской инвестиционной компании.
Иранские власти заявили, что другие авторизованные майнинговые фермы с общим потреблением 600 МВт-ч были отключены, чтобы помочь энергетической компании справиться с растущим спросом на электроэнергию во время пика потребления, который усугубляется связанными с пандемией rправительственными распоряжениями об ограничении передвижений граждан.
По сообщению The Washington Post, исследователь криптовалюты из Тегерана Зия Садр опроверг заявления властей Ирана. Он утверждает, что майнеры «не имеют никакого отношения к отключениям электроэнергии», так как майнинг составляет лишь очень небольшой процент от общей электрической мощности в стране. По его мнению, проблема заключается в изношенном оборудовании электростанций. [4]
В Калмыкии завели уголовное дело по хищению электроэнергии на 16 млн рублей при майнинге биткоинов
Как стало известно 12 января 2021 года, в Калмыкии завели уголовное дело по хищению электроэнергии на 16 млн рублей при майнинге биткоинов. Подробнее здесь.
«Россети» оценили размер убытка от деятельности «черных» майнеров
22 декабря 2020 года «Россети» сообщили размер убытка от деятельности «черных» майнеров — людей, которые добывают криптовалюту, незаконно подключаясь к чужим энергосистемам и соответственно на платя за электроэнергию. Подробнее здесь.
Криптоферма стала причиной пожара в петербургской коммуналке
Расположенная в одной из коммунальных квартир Санкт-Петербурга незаконная ферма для майнинга криптовалюты стала причиной пожара в Петроградском районе города. Об этом стало известно 25 ноября 2020 года. Как оказалось, владелец криптофермы не позаботился о системе охлаждения.
24 ноября 2020 года в 22:13 в МЧС по городу Санкт-Петербургу поступило сообщение о возгорании в семикомнатной коммунальной квартире дома №36 на набережной реки Карповки. Для борьбы с пожаром прибыли четыре единицы техники и шестнадцать пожарников, которым удалось потушить огонь через 40 минут.
От пожара пострадал и сам владелец криптофермы, 35-летний мужчина, госпитализированный с ожогами рук, спины и шеи.
На днях ферма для майнинга криптовалюты также была обнаружена в городе Дагестанские Огни (Республика Дагестан). Незаконное предприятие было оборудовано в съемной квартире, принадлежащей пенсионерке. Личность организатора криптофермы устанавливается. Ущерб от деятельности незаконного предприятия составил более 4 млн руб [5] .
«Россети» за 4 года потеряли 600 млн рублей из-за серых майнеров
С 2017 по октябрь 2020 года «Россети» потеряли около 600 млн рублей из-за деятельности нелегальный майнеров. Об этом компания сообщила в своём Telegram-канале 23 октября. Подробнее здесь.
Накрыта подпольная майнинг-ферма, из-за которой «Россети» потеряли 23 млн рублей
28 сентября 2020 года «Россети» сообщили об обнаружении подпольной майнинг-фермы, из-за которой компания потеряла почти 23 млн рублей. Таких преступлений становится все больше из-за роста курса биткоина и других криптовалют. Подробнее здесь.
Вирус-майнер MrbMiner заразил тысячи Microsoft SQL Server
В середине сентября 2020 года стало известно о распространении вируса под названием MrbMiner, который атакует системы Microsoft SQL Server (MSSQL) и используется для добычи криптовалют. Об этой угрозе рассказали специалисты по информационной безопасности Tencent Security. Подробнее здесь.
Ущерб в 2 млн рублей от подпольных майнеров
12 августа 2020 года компания «Россети Северный Кавказ» сообщила о выявлении нескольких нелегально подключенных к электросетям ферм для добычи криптовалют в Дагестане. Убытки от незаконной деятельности майнеров оцениваются почти в 2 млн рублей. Подробнее здесь.
Мошенники предлагают вычислительные мощности для майнинга криптовалюты «в аренду»
Эксперты Qrator Labs зафиксировали очередную схему мошенничества на сайтах, где людям предлагают крупный заработок после оплаты «комиссии». Об этом стало известно 28 июля 2020 года. Речь идет о предоставлении вычислительной мощности для майнинга криптовалюты, за аренду которой от клиентов просят деньги.
Технически схема работает следующим образом: клиенту предлагают заплатить 400 рублей за часовую аренду мощностей для майнинга и обещают, что за это время он сможет заработать до ₽20 тыс.
Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд отметил, что похожая схема использовалась и ранее, однако до этого клиентам предлагали скачать программу для майнинга. Она могла быть даже настоящей, но деньги при этом поступали на чужой кошелек.
Чтобы избегать финансовых потерь на подобных сайтах, А. Гавриченков рекомендовал пользователям проверять, есть ли на странице ссылка на главный сайт в том же домене или официальные документы, такие как политика конфиденциальности и пользовательское соглашение [6] .
Абхазия стала «центром нелегального майнинга»
В первой половине 2020 года в Абхазию было ввезено 83 партий оборудования для добычи криптовалют. 10 партий на сумму 42 млн рублей таможенный комитет на КПП «Псоу» оформил в режиме временного ввоза, 73 партии на те же 42 млн рублей ввезены как импорт. За 2019 год таможня оформила ввоз 23 партий оборудования для добычи криптовалют на общую сумму 37,4 млн рублей.
Как сообщает «Нужная газета», Абхазия стала центром нелегального майнинга. В этом регионе запрещено добывать криптовалюту с конца декабря 2018 года. Как отметил председатель таможенного комитета Гурам Инапшба, законодательство Абхазии не запрещает ввозить в страну криптооборудование.
По его мнению, решить вопрос достаточно просто – надо запретить ввоз данного оборудования, и «ни один контейнер не пройдет в Абхазию».
Он также обратил внимание, что данные таможни неполные, поскольку часть оборудования завозится контрабандным путем. Только в феврале 2020 года таможенники пресекли незаконный ввоз 38 установок для майнинга.
По словам главы таможни, при завозе подобного оборудования сложно установить, является ли техника бытовой, офисной или она предназначена для получения прибыли.
Ввозом криптооборудования в Абхазию занимается несколько десятков граждан нашей страны, имена которых не подлежат разглашению в соответствии с законом о коммерческой тайне. Иностранцев среди них нет, добавил Гурам Инапшба.
Ранее власти Абхазии предпринимали попытки обеспечить регулирование сферы криптовалютного майнинга. Министерство экономику разработало соответствующий законопроект, в котором в качестве обязательных условий для осуществления этой деятельности были регистрация в качестве юрлица или ИП, постановка на учет в налоговых органах в качестве налогоплательщика и получение лицензии на осуществление деятельности по майнингу криптовалют. Однако данный законопроект не был принят парламентом. [7]
В Псковской области подпольные майнеры украли электричество на 1,25 млн рублей
23 июня 2020 года стало известно о большой краже электроэнергии на территории поселка Кунья в Псковской области, где была развёрнута крупная майнинговая ферма.
Как сообщили изданию «Московский комсомолец в Пскове» в пресс-службе Псковского филиала «Россети Северо-Запад», майнинговая ферма была спрятана в местном ангаре. Полицейские осмотрели ее совместно с энергетиками. В ходе проверки было установлено, что злоумышленники повредили антимагнитную пломбу, установили на счетчик магнит и безучетно использовали электричество. К сетям было подключено компьютерное оборудование для добычи криптовалюты.
Расследование дела будет вести полиция. Подозреваемым грозит до 5 лет лишения свободы за хищение энергии в особо крупном размере. Точный ущерб мошенников ещё предстоит оценить. По предварительным данным, преступники украли электричество на сумму около 1,25 млн рублей.
Компания «Россети Северо-Запад» просит сообщать обо всех фактах незаконного подключения к электросетям и хищения электроэнергии на единый бесплатный телефон «горячей линии». [8]
Это далеко не первый случай разоблачения подпольных майнеров, которые нанесли компани ущерб. Специалисты «Россети Ленэнерго» (юридическое наименование – ПАО «Ленэнерго») обнаружили майнинг-ферму на территории садоводства в Гатчинском районе Ленинградской области.
В ходе контрольных замеров энергопотребления было выявлено, что прибор учёта в 10 раз уменьшает показатели потребления. В результате проверки совместно с правоохранительными органами в помещении контейнерного типа было обнаружено оборудование для майнинга криптовалюты, безучетно потребляющее электроэнергию. По предварительному расчету стоимость неучтенного потребления электроэнергии составила 5,6 млн рублей, она будет взыскана с владельца оборудования. Сами блоки для майнинга и неисправный прибор учета были демонтированы.
Intel выпустила технологию защиты бизнес-компьютеров от скрытого майнинга
В конце июня 2020 года компании Intel и BlackBerry объявили о выпуске на рынок совместной системы, которая позволяет защищать коммерческие ПК от скрытого майнинга. Решение получило название BlackBerry Optics и основу в виде технологии Intel Threat Detection. Подробнее здесь.
Десятки компьютеров чиновников Татарстана использовались для добычи криптовалют
В середине июня 2020 года стало известно о том, что десятки компьютеров чиновников Татарстана использовались для добычи криптовалют. Как рассказал изданию «Бизнес Online» министр цифрового развития госуправления республики Айрат Хайруллин, некоторые устройства были оснащены вирусами для скрытого майнинга, но были и случаи, когда сами госслужащие добывали криптовалюту. Нарушителей привлекли к ответственности.
По словам Хайруллина, попытки майнинга криптовалюты с начала 2020 года по середине июня были зафиксированы на 71 компьютере, принадлежащем государственным органам Татарстана. Работа по реагированию на подобные инциденты возложена на Центр мониторинга информационной безопасности (SOC / SIEM) при взаимодействии с ФСБ, ФСТЭК и МВД. Благодаря SOC число угроз безопасности снизилось с 750 в январе до 461 в мае, рассказал министр.
Айрат Хайруллин также отметил, что пока нет универсального инструмента борьбы со скрытым майнингом.
Ранее после неудачной попытки взлома татарстанских серверов для майнинга криптовалюты на полтора года лишения свободы был осужден хакер из Владимирской области. [9]
В Дагестане закрыли майнинговую ферму, укравшую электроэнергию на 34 млн рублей
6 июня 2020 года Министерство внутренних дел по республике Дагестан сообщило об обнаружении майнинговой фермы, которая была незаконно подключена к электрическим сетям, причинив ущерб сетевой компании в размере более 34 млн рублей.
Создать фермы незаконно подключился к линии электропередач, проходившей вдоль строительной базы, и подвел провода к специализированному оборудованию. Нарушитель не заключил договор энергоснабжения с гарантирующим поставщиком электроэнергии (ПАО «Дагестанская энергосбытовая компания», под управлением «Россети Северный Кавказ»), а также договор на технологическое присоединение к сетям «Дагестанской сетевой компании».
Полицейские обнаружили в помещении комплектующие от компьютеров и 518 устройств для выработки цифровой валюты. Энергетики составили акт на бездоговорное потребление электроэнергии.
Возбуждено уголовное дело по п. «б» ч. 2 ст. 165 («Причинение имущественного ущерба путем обмана или злоупотребления доверием») УК РФ.
Сумма хищения электроэнергии в Новом Хушете — 34 млн рублей — стало за последнее время самой крупной, обнаруженной сотрудниками «Россети», говорится в сообщении холдинга компании «Россети Северный Кавказ» от 8 июня 2020 года.
К этой дате ПАО «Россети Северный Кавказ» обеспечивает передачу электроэнергии по сетям напряжением от 0,4 кВ до 110 кВ, а также осуществляет технологическое присоединение потребителей к сетевой инфраструктуре на территории Северо-Кавказского федерального округа. [10]
По курсу на 8 июня 2020 года один лайткоин стоит 3172 рубля, а биткоин – 663 706 рублей.
Подпольный майнинг нанес «Россетям» ущерб в 450 млн рублей за 3 года
Подпольный майнинг нанес «Россетям» ущерб в 450 млн рублей за три года. Об этом в конце мая 2020 года компания сообщила в своём Telegram-канале.
За 3-летний отрезок времени «Россети» в 20 регионах России выявили 35 случаев кражи электроэнергии с целью снабжения майнинг-ферм. По всем этим эпизодам привлекались правоохранительные органы для наказания лиц, занимающихся подпольным майнингом.
Также отмечается, что с периода роста курса криптовалют «Россети» фиксируют «попытки недобросовестных коммерсантов сократить свои затраты и повысить прибыль путём кражи электроэнергии».
Так, незаконные майнинг-фермы были обнаружены в Калмыкии. Устройства нанесли ущерб энергоснабжающей компании свыше 1 млн рублей, в отношении двух подозреваемых возбуждено уголовное дело. Статья подразумевает лишение свободы на срок до пяти лет с выплатой штрафа.
Также в феврале в Чечне закрыли ферму стоимостью в 1,2 млн рублей для добычи криптовалюты, незаконно подключенную к энергосети. Оборудование было найдено после жалоб местных жителей, которые испытали проблемы с электричеством.
Несмотря на участившееся количество случаев подпольного майнинга, в «Россетях» заявили, что не будут увеличивать тарифы на электроэнергию для пользователей, которые в ночное время увеличивают нагрузку на сети и предположительно занимаются криптовалютным майнингом.
Начальник отделения «Почты России» добывал криптовалюту на рабочем месте
В конце мая 2020 года начальник отделения «Почты России» в Ставропольском крае добывал криптовалюту на рабочем месте, в результате чего в отношении него было заведено уголовное дело. Об этом сообщила пресс-служба краевого управления Следственного комитета России (СКР).
По версии следствия, экс-руководитель минераловодского филиала «Почты России» с сентября 2019 года установил и незаконно подключил к электросети почтамта компьютерное оборудование для добычи криптовалюты. В течение полугода он использовал это оборудование, а счета за электричество и интернет оплачивала «Почта России».
В результате «незаконных действий» подозреваемого Управлению федеральной почтовой связи Ставропольского края причинен ущерб свыше 30 тыс. руб. Как уточнили в СУ СКР по Ставропольскому краю, данное уголовное дело возбуждено по материалам УФСБ России по Ставропольскому краю и краевого Управления МВД.
К концу мая 2020 года СКР проводит следственные действия, направленные на сбор необходимой доказательственной базы. Он подозревается в злоупотреблении должностными полномочиями (ч. 1 ст. 285 УК РФ). Когда стало известно о незаконных действиях начальника почтового отделения, его уволили.
Случаев злоупотребления своих служебных положений с целью криптовалютного майнинга в России становится всё больше. По мнению Андрея Янкина, заместителя директора Центра информационной безопасности компании «Инфосистемы Джет», наиболее велик риск злоупотреблений персонала в компаниях, имеющих большие вычислительные мощности и плохо их контролирующих. Более других уязвим госсектор, государственные и окологосударственные компании, у которых богатые центры обработки данных (ЦОД) с тысячами серверов и некомпетентными администраторами. [11]
Суперкомпьютеры по всей Европе заражены вирусом для добычи криптовалют
В середине мая 2020 года стало известно о заражении вредоносным программным обеспечением для майнинга криптовалюты Monero нескольких суперкомпьютеров в Европе.
Первым об обнаружении вируса объявил Эдинбургский университет, располагающий суперкомпьютером ARCHER. По словам системных администраторов, они зафиксировали подозрительную активность на узлах входа в систему. После чего тут же приостановили доступ пользователей к суперкомпьютеру, аннулировав все существующие пароли доступа.
После того как к расследованию инцидента присоединились EPCC Systems, Cray и Государственный центр кибербезпасности, спустя 7 дней периметр безопасности ARCHER удалось восстановить, а доступ к компьютеру — вернуть.
В тот же день, когда о проблеме сообщил Эдинбургский университет, о подозрительной активности уведомила немецкая организация bwHPC, которая управляет суперкомпьютерами в районе Баден-Вюртемберг в Германии. Эксперты зафиксировали атаки на 5 систем, размещенных в Штутгартском университете, Технологическом институте Карлсруэ, Ульмском университете и Тюбингенском университете. Все эти системы были выключены.
Двумя днями позже об аналогичный инцидент произошел в Барселоне, а днем позже еще четыре — в Мюнхене, Баварии, Юлихе и Дрездене. Еще через несколько дней об атаках сообщили два суперкомпьютерных центра в Мюнхене и Швейцарии.
Ни одна из организаций не поделилась догадками, кто может стоять за атаками, и каким образом хакеры проникли в системы. Но, согласно предварительным результатам расследования специализирующейся на информационной безопасности британской компании Cado Security, хакеры воспользовались похищенными учетными данными, содержащими данные для авторизации по протоколу удаленного администрирования SSH.
По всей видимости, в руки злоумышленников попали учетные данные исследователей из университетов в Канаде, Польше и Китае, которым был предоставлен дистанционный доступ к указанным системам для проведения научных расчетов. [12]
На птицефабрике в Новгородском районе обнаружена криптоферма
30 апреля 2020 года стало известно, что в поселке Подберезье Новгородского района на неработающей птицефабрике была оборудована ферма для добычи криптовалюты. Сотрудники компании «Россети Северо-Запад» обнаружили незаконное предприятие во время проверки приборов учета электроэнергии. Причиной проверки послужил резкий рост энергопотребления птицефабрикой, которая уже полтора года находится на стадии банкротства и официально прекратила деятельность.
Когда специалисты компании «Россети Северо-Запад» пришли с проверкой, охранники предприятия под различными предлогами пытались не допустить их к электросчетчикам. В конечном итоге контролерам удалось проверить приборы учета, и, как оказалось, из девяти зарегистрированных на предприятии электросчетчиков два были выведены из строя, а на остальных имелись признаки внутреннего вмешательства и подделки пломб.
В ходе проверки специалисты также обнаружили кабели, проложенные по земле от трансформаторных подстанций к контейнерам, в которых размещались устройства для майнинга криптовалюты.
В результате деятельности криптофермы компании «Россети Северо-Запад» был причинен ущерб в размере 118 млн рублей. [13]
Львовский железнодорожник незаконно майнил криптовалюту на рабочем месте
Во Львове (Украина) состоится суд в отношении сотрудника государственной железнодорожной компании «Укрзалізниця», который обвиняется в незаконном майнинге криптовалюты на рабочем месте. Об этом стало известно 10 марта 2020 года. Как сообщают СМИ, чиновник установил в своем служебном кабинете и мастерской специальное оборудование и самовольно подключил его к электросети. За счет краденой электроэнергии мужчина добывал криптовалюту.
В ноябре прошлого года во львовском филиале компании «Укрзалізниця» была обнаружена майнинговая ферма, незаконно подключенная к электросетям предприятия. Как установили сотрудники правоохранительных органов, к противоправным действиям был причастен руководитель одного из подразделений львовского филиала компании «Укрзалізниця».
Незаконной деятельностью чиновник занимался в течение пяти месяцев и причинил предприятию ущерб в размере порядка 400 тыс. гривен (более 1 млн рублей). Факт хищения электроэнергии был задокументирован сотрудниками правоохранительных органов.
Действия чиновника были квалифицированы по ч.2 ст.188-1 («Хищение воды, электрической или тепловой энергии путем ее самовольного использования») Уголовного Кодекса Украины. Дело было направлено в суд для рассмотрения по существу. Бывшему сотруднику компании «Укрзалізниця» грозит наказание в виде лишения свободы на срок до трех лет. [14]
38% компаний стали жертвами криптомайнеров
Специалисты из компании Check Point Software в отчете Cyber Security Report 2020 рассказали об основных инструментах, которые киберпреступники использовали для атак на компании по всему миру в 2019 году. Об этом стало известно 21 января 2020 года.
По словам экспертов, среди вредоносного ПО доминируют криптомайнеры, несмотря на тот факт, что количество криптомайнинговых атак в 2019 году сократилось. 38% компаний по всему миру стали жертвой данного вредоносного ПО. Популярность криптомайнерам обеспечивают небольшие риски и высокий доход. По результатам опроса, лишь 7% российских компании опасались криптомайнеров.
28% компаний были атакованы ботнетами, что на 50% превышает данный показатель за 2018 год. Лидером среди вредоносов благодаря своей универсальности стал Emotet.
Как отметили специалисты, количество атак на мобильные устройства снизилось — с 33% в 2018 году до 27% в 2019. По данным опроса, только 16% ИТ-экспертов в России устанавливают или планируют использовать специальное ПО для защиты мобильных устройств, а 52% респондентов считают самой эффективной мерой защиты запрет на пользование персональными смартфонами по работе.
Эксперты отметили увеличение количества предприятий, использующих облачные сервисы, — до 90%. Однако больше половины опрошенных (67%) ИБ-специалистов пожаловались на недостаточную прозрачность их облачной инфраструктуры, безопасности и несоответствия требованиям. Главной причиной атак на облачные сервисы по-прежнему остается неправильная настройка их ресурсов [15] .
Злоумышленники украли 32 тыс. кВт⋅ч на сумму 81 тыс. руб у «Ингушэнерго»
30 декабря 2019 года стало известно, что владельцы недавно закрытой незаконной криптофермы в Ингушетии снова похитили у «Ингушэнерго» (филиал компании «Россети северный Кавказ») электроэнергию. На этот раз злоумышленники украли 32 тыс. кВт⋅ч на сумму 81 тыс. руб.
В октябре 2019 года в ходе плановой проверки в городе Сунжа специалисты блока технического аудита зафиксировали наброс на линию электропередачи в обход электросчетчика. Во время осмотра проблемного места было обнаружено незаконно подключенное оборудование для добычи криптовалюты. Тогда злоумышленники похитили у «Ингушэнерго» более 160 тыс. кВт⋅ч электроэнергии на сумму порядка 400 тыс. руб., что равно энергопотреблению Джейрахского района Ингушетии за две недели или месячному потреблению Ингушской республиканской клинической больницы.
В отношении владельцев криптофермы был составлен акт о безучетном потреблении электроэнергии, однако спустя некоторое время они снова незаконно подключили к электросетям оборудование для майнинга. Повторный самовольный наброс на линию электропередачи был обнаружен сотрудниками «Ингушэнерго» во время рейда по взысканию задолженности за потребленный ресурс в конце текущего месяца. Информация о факте хищения была передана в правоохранительные органы республики.
Нарушитель должен оплатить счет, значительно превышающий стоимость электроэнергии, полученной законным путем. Сумма возмещения рассчитана, исходя из максимально возможного потребления подключенного оборудования в круглосуточном режиме с момента последней проверки [16] .
Российские хакеры майнят криптовалюту на веб-страницах госорганизаций
Как сообщил на пресс-конференции замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов, зараженные ресурсы госорганизаций России использовались хакерами для майнинга криптовалют. Об этом стало известно 16 декабря 2019 года.
Мурашов отметил, что захват в целях майнинга серверов крупных компаний грозит существенным снижением их производительности и значительным ущербом для бизнеса.
ПО для добычи криптовалют научились скрывать в процессах на ПК
В середине декабря 2019 года исследователи кибербезопасности задокументировали использование технологии, позволяющей скрывать наличие вредоносных программ в зараженных системах. Хакеры разработали новую тактику атаки и использовали методику «затопления процессов» (халловинга), чтобы спрятать ПО для [[майнинг|майнинга\. Антивирусы бессильны перед новой тактикой.
Исследователи Trend Micro заявили, что в течение ноября 2019 года хакеры провели организованную кампанию с использованием вредоносного ПО, используя необычный компонент-дроппер с вредоносным ПО в разных странах, включая Кувейт, Тайланд, Индию, Бангладеш, Объединенные Арабские Эмираты, Бразилию и Пакистан.
Файл, внедренный в ПК жертвы, действует как средство удаления вредоносных программ и как архив, но сам по себе не является вредоносным. Этот архив содержит основной исполняемый файл и программное обеспечение для майнинга криптовалют, но делает их неактивными, что позволяет обойти защитные проверки.
Компоненту-дропперу требуется определенный набор кодов командной строки для запуска вредоносного ПО. По словам исследователей, после выполнения команды файл «не оставляет никаких следов вредоносного воздействия, которые позволили бы обнаружить или проанализировать его». Эта техника широко известна как процесс халловинга.
Чтобы избежать сканирования антивирусами, вредоносный код скрыт в каталоге без расширения. Злоумышленники могут запускать вредоносное ПО, используя определенные коды, благодаря чему вредоносное ПО распаковывается через дочерний процесс и в систему вводится майнер криптовалюты XMRig Monero. Таким образом начинается добыча криптовалюты в фоновом режиме, а вырученные средства отправляются на контролируемый злоумышленниками электронный кошелек. [18]
Check Point Research: Самые активные киберугрозы октября
28 ноября 2019 года компания Check Point Software Technologies опубликовала отчет Global Threat Index с самыми активными киберугрозами октября 2019 года. Специалисты отмечают, что криптомайнеры выбыли из первой строчки в рейтинге самого активного вредоносного ПО впервые почти за два года.
Активность криптомайнеров продолжает падать с 2018 года, когда она была на пике. Исследователи напомнили, что в январе и феврале 2018 года этот тип вредоносного ПО затронул деятельность более 50% организаций во всем мире. Через год — в январе 2019 — его активность упала до 30%, а в октябре 2019 года действия криптомайнеров затронули лишь 11% компаний в мире.
Самой активной вредоносной программой в октябре стал ботнет Emotet, который месяцем ранее занимал пятую позицию рейтинга и затрагивал 14% организаций в мире. В конце месяца ботнет распространял приуроченный к Хеллоуину спам. В теме электронных писем были поздравления («Happy Halloween») и приглашения на праздник («Halloween Party Invitation»), внутри которых содержался вредоносный файл.
Самое активное вредоносное ПО в октябре 2019 в России: В России первое место по-прежнему занимает криптомайнер
- Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга — добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
- Emotet – продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Обновленный функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
Самое активное вредоносное ПО в октябре 2019 в мире: Впервые за почти два года из числа самых активных вредоносных программ вышли криптомайнеры. В этом месяце Emotet занял первую строчку в рейтинге Global Threat Index, атаковав 14% организаций в мире. На втором месте оказался XMRig, атаки которого пришлись на 7% компаний в мире. Тройку опасных вредоносных программ замкнул Trickbot с охватом в 6%.
- Emotet – продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
- XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
- Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.
Самые активные мобильные угрозы октября 2019: В октябре самой распространенной мобильной угрозой стал троян Guerrilla, следом за ним в рейтинге расположились Lotor и Android Bauts.
- Guerilla — кликер для Android, который может взаимодействовать с сервером удаленного управления, загружать дополнительные вредоносные плагины и агрессивно накручивать клики по рекламе без согласия или ведома пользователя.
- Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
- AndroidBauts — рекламное ПО, предназначенное для пользователей Android, которое фильтрует IMEI, IMSI, местоположение GPS и другую информацию об устройстве и позволяет устанавливать сторонние приложения на мобильные устройства.
Самые распространенные уязвимости октября 2019: Самой распространенной уязвимостью октября 2019 года стала SQL-инъекция — она затронула более трети (36%) организаций по всему миру. Второе и третье место занимают ошибка HeartBleed в ПО OpenSSL TLS DTLS (33%) и удаленное выполнение кода MVPower DVR (32%) соответственно.
- SQL-инъекция — вставка SQL-кода во входные данные от клиента к странице с использованием уязвимости в программном обеспечении приложения.
- Ошибка HeartBleed в ПО OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
- Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.
В Красноярске глава ТСЖ «Соседи» завел криптоферму в подвале и перевел на жильцов миллионные долги
1 ноября 2019 года стало известно, что в Красноярске в подвале дома на ул. Молокова, 15 обнаружена незаконно подключенная к общедомовой электросети ферма по майнингу криптовалюты. В результате общедомовой счетчик зафиксировал «лишнюю» электроэнергию на общую сумму 4,5 млн руб. Подробнее здесь.
Включил музыку на компьютере и начался майнинг биткоина. Как злоумышленники по-новому добывают криптовалюту
В октябре 2019 года специалисты по информационной безопасности сообщили о том, что хакеры научились помещать вредоносный код в [[1]] для добычи криптовалют.
По данным BlackBerry Cylance, киберпреступники встроили в скрытый майнер в аудиофайлы WAV. Причем файлы, в которые был внедрен майнер, воспроизводились без проблем с качеством, на некоторых из них был белый шум.
Обнаружен червь для криптоджекинга, распространяющийся с помощью контейнеров Docker
17 октября 2019 года стало известно о том, что команда исследователей из Unit 42 компании Palo Alto Networks обнаружили, по их словам, первый червь для криптоджекинга, распространяющийся с помощью контейнеров Docker. Подробнее здесь.
Сотрудник ядерного центра в Сарове получил условный срок за майнинг криптовалюты на рабочем месте
16 октября Саровский городской суд приговорил к условному сроку и штрафу сотрудника Всероссийского научно-исследовательского института экспериментальной физики (РФЯЦ-ВНИИЭФ) Андрея Шатохина, сообщили TAdviser в пресс-службе суда. В 2018 году он вместе с двумя коллегами был задержан за попытку майнинга биткоинов на рабочем месте.
По информации на сайте суда, Шатохину инкриминировали четыре преступления по трем статьям УК РФ: неправомерный доступ к компьютерной информации с использованием служебного положения (ст.272), нарушение правил хранения компьютерной информации (ст.274), использование и распространение компьютерных вирусов (ст. 273).
В пресс-службе Саровского городского суда сообщили TAdviser, что совокупно по трем инкриминируемым преступлениям Андрею Шатохину назначено 4 года лишения свободы условно с испытательным сроком, а по одному преступлению — штраф в размере 250 тыс. рублей. Приговор в законную силу еще не вступил.
В Ингушетии ликвидирована масштабная криптоферма
Неподалеку от села Плиево в Назрановском районе Республики Ингушетия обнаружена огромная криптовалютная ферма. Более полутора тысяч видеокарт располагались в здании, на котором незаконно были установлены два трансформатора мощностью 1600 кВт каждый [19] .
Владелец криптофермы не платил за электричество, и служба безопасности поставщика электроэнергии обратила на это внимание. Как сообщают [20] в энергокомпании «Россети Северный Кавказ», данный случай является самым крупным хищением за последнее время — было похищено электроэнергии на 130 млн руб.
При обыске криптофермы сотрудники правоохранительных органов выявили 1651 видеокарту, два системных блока, ноутбук, видеорегистратор системы видеонаблюдения и два трансформаторных пункта. Все вышеупомянутое оборудование было конфисковано. По записям с видеокамер правоохранители надеются вычислить владельца фермы.
Решается вопрос о возбуждении уголовного дела по ст. 165 УК РФ («Причинение имущественного ущерба путем обмана или злоупотребления доверием в особо крупном размере»). Данная статья предусматривает наказание в виде штрафа и лишения свободы на срок до пяти лет.
Сотрудники Южно-Украинской АЭС майнили криптовалюту на рабочем месте
Должностные лица Южно-Украинской атомной электростанции незаконно занимались майнингом криптовалюты на рабочем месте. Как сообщается в материалах суда, с целью добычи криптовалюты в режимных помещениях АЭС несанкционированно было установлено компьютерное оборудование с подключением к интернету. В результате этих действий была разглашена информация о физической защите, составляющая государственную тайну [21] .
В результате обыска, проведенного в кабинете запасных частей и оборудования в административном здании АЭС, а также в расположенной на территории АЭС военной части, сотрудники правоохранительных органов изъяли компьютерную технику. В частности были изъяты видеокарты, жесткие диски, системные блоки, блоки питания, медиа-конвертер CTC union, оптоволоконный и сетевой кабели и другие комплектующие. На изъятую технику в целях предотвращения ее порчи или уничтожения был наложен арест.
В Красноярске коммунальщики обнаружили криптомайнинговую ферму
Сотрудники службы экономической безопасности компании «КрасКом» обнаружили незаконное подключение майнинговой фермы к муниципальным электросетям для добычи криптовалюты биткойн. Предполагается, что злоумышленники подключились к электрическим сетям весной 2019 года [22] [23] .
Сотрудники правоохранительных органов задокументировали факт криминальной деятельности и изъяли на месте более ста единиц оборудования для добычи криптовалюты, стоимостью свыше 10 млн рублей. Оборудование преступников потребляло около 400 кВ/ч в течение двух месяцев. Компания «КрасКом» оценила нанесенный ей ущерб в более 2 млн рублей.
Злоумышленников обвиняют в преступлении, предусмотренном ч. 2 ст. 165 УК РФ (Причинение имущественного ущерба путем обмана или злоупотребления доверием), за которое им грозит до пяти лет лишения свободы.
Node.js-троян добывает криптовалюту TurtleCoin
19 июня 2019 года компания «Доктор Веб» сообщила что в ее вирусной лаборатории исследован троянец-загрузчик, написанный на JavaScript и использующий для запуска Node.js. Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin. Подробнее здесь.
Coinhive закрывается, но криптомайнинг по-прежнему доминирует
11 апреля 2019 года стало известно, что компания Check Point Software Technologies опубликовала отчет с самыми активными угрозами в марте Global Threat Index. Согласно рейтингу, несмотря на то что майнинговые сервисы, такие как Coinhive, закрываются, криптомайнеры все еще остаются самыми распространенными вредоносными программами, направленными на компании по всему миру.
Сервисы Coinhive и Authedmine прекратили работу 8 марта — и впервые с декабря 2017 года Coinhive уступил верхнюю позицию Global Threat Index. Однако, несмотря на то что криптомайнер работал в марте только в течение восьми дней, он занял шестое место среди самых активных угроз. В моменты своей самой активной работы Coinhive атаковал 23% организаций по всему миру.
Многие сайты все еще содержат JavaScript-код Coinhive, хотя майнинг ими уже не осуществляется. Исследователи Check Point предупреждают, что Coinhive может легко возобновить свою деятельность, если валюта Monero вновь покажет рост. Кроме того, воспользоваться отсутствием конкуренции со стороны Coinhive могут другие криптомайнеры — и увеличить свою активность.
Три из пяти самых активных угроз в марте — криптомайнеры Cryptoloot, XMRig и JSEcoin. Так, Cryptoloot впервые возглавил рейтинг угроз, за ним следует модульный троян Emotet. Оба атаковали около 6% компаний по всему миру. Третий по распространенности — зловред XMRig (5%).
Топ-3 самых активных вредоносных ПО в марте 2019:
Стрелки показывают изменение позиции по сравнению с предыдущим месяцем.
- ↑ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
- ↑ Emotet — продвинутый, самораспространяющийся модульный троян. Emotet когда-то использовался в качестве банковского трояна, а в последнее время используется в качестве доставки других вредоносных программ или вредоносных кампаний. Он использует несколько методов, чтобы избежать обнаружения. Также распространяется через фишинговые спам-сообщения, содержащие вредоносные вложения или ссылки.
- ↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
В апреле 2019 года Hiddad стал наиболее распространенным вредоносным ПО для мобильных устройств и сместил Lotoor с первого места. Троян Triada остается на третьем месте.
Самые активные мобильные угрозы марта 2019:
- Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
- Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
- Triada — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузере.
Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. CVE-2017-7269 остался на первом месте (47%). Также в тройке утечка информации через репозитории веб-сервера Git (46%) и критические уязвимости библиотеки OpenSSL TLS DTLS Heartbeat (45%).
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.
Только один из пяти ИТ-специалистов знает о заражении криптомайнерами
11 февраля 2019 года компания Check Point Software Technologies Ltd., поставщик решений для обеспечения кибербезопасности во всем мире, выпустила вторую часть отчета 2019 Security Report. По данным отчета, инструменты, используемые киберпреступниками, стали более демократичными, а продвинутые методы атаки теперь доступны всем, кто готов заплатить за них.
Вторая часть отчета 2019 Security Report раскрывает ключевые тренды кибератак в 2018 году и показывает значительный рост скрытых комплексных атак, предназначенных для того, чтобы оставаться вне поля зрения корпоративной безопасности. Кроме того, в отчете говорится о тех видах кибератак, которые корпоративные ИТ и специалисты по безопасности считают самой большой угрозой для своих организаций.
Криптомайнеры остаются незамеченными в сети: в 2018 году криптомайнеры поразили в 10 раз больше компаний, чем программы-вымогатели, однако только один из пяти ИТ-специалистов по безопасности знали о заражении сетей своих компаний вредоносными программами.
Организации недооценивают риск угрозы криптомайнеров: только 16% опрошенных назвали криптомайнинг самой большой угрозой организации. Это очень низкий показатель по сравнению с DDoS-атаками (их назвали 34% опрошенных), утечкой данных (53%), программами-вымогателями (54%), и фишингом (66%). Такие результаты говорят о том, что криптомайнеры могут легко оставаться незамеченными, чтобы загружать и запускать другие типы вредоносных программ.
Вредоносные программы по подписке набирают популярность: партнерская программа GandCrab Ransomware-as-a-Service доказала, что даже дилетанты теперь могут получать прибыль от кибервымогательства. Подписчики сохраняют до 60% выкупа, собранного с жертв, а разработчики программы — 40%. На февраль 2019 года у GandCrab более 80 активных «филиалов», и в течение двух месяцев 2018 года они атаковали более 50 000 жертв и потребовали от 300 000 до 600 000 долларов выкупа.
Отчет безопасности Check Point 2019 Security Report основан на данных сети по борьбе с киберпреступностью ThreatCloud intelligence, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз; данных из исследований Check Point за последние 12 месяцев; и данных из последнего опроса ИТ-специалистов и руководителей высшего звена, который оценивает их готовность к совремнным угрозам. В отчете рассматриваются последние угрозы для различных отраслей и дается всесторонний обзор тенденций, наблюдаемых в области вредоносных программ, утечек данных и кибератак на государственном уроне. Он также включает анализ экспертов Check Point, помогающий организациям понять и подготовиться к сложному ландшафту угроз.
Криптомайнеры атаковали 37% компаний по всему миру
30 января 2019 года стало известно, что компания Check Point Software Technologies Ltd., поставщик решений для обеспечения кибербезопасности во всем мире, выпустила первую часть отчета 2019 Security Report. В отчете освещены основные инструменты, которые киберпреступники используют для атак на организации по всему миру, и предоставляет специалистам по кибербезопасности и руководителям компаний информацию, необходимую для защиты организаций от текущих кибератак и угроз Пятого поколения.
Отчет 2019 Security Report раскрывает основные тренды и методы вредоносного ПО, которые исследователи Check Point наблюдали в 2018 году:
- Криптомайнеры доминируют в ландшафте угроз: криптомайнеры стабильно занимали первые четыре строчки рейтингов самых активных угроз и атаковали 37% организаций по всему миру в 2018 году. Несмотря на снижение стоимости всех криптовалют, 20% компаний продолжают подвергаться атакам криптомайнеров каждую неделю. В последнее время это вредоносное ПО заметно эволюционировало, чтобы использовать уязвимости высокого уровня и обходить песочницы и другие средства защиты, чтобы увеличить интенсивность заражения.
- Мобильные устройства как движущаяся цель: 33% организаций по всему миру подвергались атакам мобильного вредоносного ПО, причем три основных угрозы были направлены на ОСAndroid. В 2018 было несколько случаев, когда мобильное вредоносное ПО было предварительно установлено на устройствах, а приложения, доступные в магазинах приложений, фактически оказались скрытым вредоносным ПО.
- Многовекторные ботнеты запускают цепочку атак: боты были третьим наиболее распространенным типом вредоносных программ: 18% организаций были атакованы ботами, которые используются для запуска DDoS-атак и распространения других вредоносных программ. Почти половина (49%) организаций, подвергшихся DDoS-атакам в 2018 году, была заражена ботнетами.
- Падение доли программ-вымогателей: в 2018 году использование вымогателей резко сократилось, затронув лишь 4% организаций во всем мире.
Отчет безопасности Check Point 2019 Security Report основан на данных ThreatCloud intelligence, большой совместной сетью по борьбе с киберпреступностью, которая предоставляет
- данные об угрозах и тенденциях атак из глобальной сети датчиков угроз;
- данные из исследовний Check Point за последние 12 месяцев;
- данные из последнего опроса ИТ-специалистов и руководителей высшего звена, который оценивает их готовность к сегодняшним угрозам.
Университет полностью отключил свою сеть, чтобы удалить вирусы для скрытой добычи биткоина
Начавшаяся 1 ноября 2018 года кибератака на университет святого Франциска Ксаверия, расположенный в городе Антигониш (Канада), привела к тому, что заведению пришлось почти на неделю закрыть доступ к своей сети. В компьютерных системах обнаружили вредоносное программное обеспечение для скрытой добычи криптовалюты. Подробнее здесь.
Число атак скрытого майнинга растет и уменьшается вслед за колебаниями курсов криптовалют
2 ноября 2018 года стало известно, что аналитики компании Avast зафиксировали интересную тенденцию: число атак, связанных с применением вредоносного ПО для майнинга в браузере в России, растет и уменьшается вслед за колебаниями курсов Bitcoin, Monero и других криптовалют. В сентябре 2018 года криптоджекинг стал активнее — вероятно, это связано с ожидаемым ростом стоимости криптовалют к концу 2018 года. Таким образом, злоумышленники усиливают незаконный майнинг при высоком курсе на криптобиржах и ограничивают эту активность, когда курс снижается.
Вслед за уменьшением стоимости криптовалют в 2018 году уровень скрытого майнинга в России также снизился. В августе было зафиксировано всего 1,7 миллиона подобных атак. В сентябре 2018 года их число вновь возросло — до 5,1 миллиона.
Технология обнаружения угроз Avast на базе искусственного интеллекта, составляющая основу решения Avast Free Antivirus, а также механизмы обнаружения скриптов безопасного браузера Avast Secure Browser распознают зараженные сайты и защищают пользователей Avast от атак киберпреступников.
Вредоносное ПО для криптоджекинга через браузер внедряется в код веб-страниц в виде скриптов для майнинга. Когда пользователь заходит на такой сайт, скрипт начинает использовать вычислительные мощности его компьютера для добычи криптовалют. Негативные последствия таких атак — большие счета за электроэнергию, плохая производительность устройств, снижение эффективности, а также общее сокращение срока службы компьютеров, смартфонов и смарт ТВ. Майнер запускается в браузере, поэтому заражению может подвергнуться любое устройство, в котором есть такое приложение.
Добавить вредоносный скрипт в код можно двумя способами: киберпреступники могут взломать чужой сайт или создать свой собственный ресурс для майнинга. Обычно злоумышленники добывают Monero, так как эта криптовалюта обеспечивает большую анонимность и конфиденциальность владельцев, чем Bitcoin и другие цифровые активы. Алгоритм майнинга Monero был специально разработан для использования на обычных компьютерах, в то время как для добычи валют типа Bitcoin необходимо специальное оборудование. Тем не менее, на большинство вредоносных программ предназначены для майнинга именно Monero и Bitcoin, так как готовые скрипты находятся в свободном доступе.
Киберпреступники также разрабатывают вредоносные майнеры для появляющихся криптовалют. Эта модель привлекательна тем, что после первичного размещения токенов они находятся на пике своей стоимости, и лишь затем их курс начинает снижаться. Злоумышленники почти сразу обменивают добытые с помощью незаконного майнинга появляющиеся криптовалюты на уже устоявшиеся, а затем монетизируют их в рублях или долларах США.
Атаки криптомайнеров на Apple iPhone
17 октября 2018 года компания Check Point Software Technologies Ltd., поставщик решений кибербезопасности, выпустила отчет Global Threat Index за сентябрь 2018 года. Исследователи отмечают, что количество атак майнеров криптовалюты на устройства Apple iPhone увеличилось почти на 400%. Атаки проводятся при помощи вредоносного ПО Coinhive, которое занимает верхнюю строчку в рейтинге Global Threat Index с декабря 2017 года. Подробнее здесь.
Скрытая добыча криптовалюты в цеху «АвтоВАЗа»
15 октября 2018 года стало известно, что Сотрудники службы безопасности «АвтоВАЗа» обнаружили в одном из тольяттинских цехов предприятия оборудование для скрытой добычи криптовалюты, сообщает издание «ТЛТ Правда». Ферма была спрятана в электрических шкафах 19-го зала управления конвейерами. Подробнее здесь.
Почти четверть компаний сталкивались с вредоносным ПО для криптоджекинга
20 сентября 2018 компания Fortinet представила результаты последнего всемирного исследования угроз. По данным исследования, в последнее время киберпреступники применяют более изобретательные стратегии работы с эксплойтами и действуют более оперативно. Кроме того, они добиваются максимальной эффективности своей преступной деятельности за счет использования очередных направлений атак и совершенствуют их методики при помощи итерационного подхода. Основные выводы, изложенные в отчете:
- Целью опасного эксплойта может стать любая фирма. На сентябрь 2018 года выявленных критических угроз и атак высокой степени серьезности можно говорить о тревожной тенденции: 96% фирм по крайней мере один раз сталкивались с серьезными угрозами. Ни одна фирма в полной мере не застрахована от рисков, связанных с постоянно развивающимися атаками. Кроме того, почти четверть компаний сталкивались с вредоноснымПО, предназначенным для криптоджекинга. Для поражения более 10% корпоративных сетей использовались всего шесть разновидностей вредоносных программ. Также за прошедший квартал отделом FortiGuard Labs было выявлено 30 уязвимостей «нулевого дня».
- Криптоджекинг начал представлять собой угрозу для бытовых устройств IoT. Киберпреступники продолжают заниматься майнингом криптовалют. В число их целей вошли устройства IoT, в том числе бытовые мультимедийные устройства. Они особенно привлекательны для злоумышленников в силу большой вычислительной мощности, которую можно направить на достижение преступных целей. Злоумышленники используют эти постоянно подключенные к сети устройства в своих интересах, загружая вредоносные программы, предназначенные для непрерывного майнинга. Кроме того, интерфейсы таких устройств используются в качестве модифицированных веб-браузеров, что усугубляет их уязвимость и способствует появлению очередных направлений атак. По мере распространения этой тенденции все большее значение для безопасности подключенных к корпоративным сетям устройств будет приобретать сегментация.
- Тенденции в сфере разработки ботнетов свидетельствуют об изобретательности киберпреступников. Данные о тенденциях в сфере разработки ботнетов дают представление о подходах, при помощи которых злоумышленники повышают эффективность существующих атак. Очередной вариант ботнета Mirai, известный под названием WICKED, включает не менее трех эксплойтов, ориентированных на поражение уязвимых устройств IoT. Также серьезной угрозой является спонсируемая государством передовая атака VPNFilter, которая нацелена на поражение сред SCADA/ICS путем мониторинга протоколов MODBUS SCADA. Это особенно опасно, поскольку разработанная злоумышленниками технология не только извлекает данные, но и может привести к полной потере работоспособности как отдельных устройств, так и их групп. Угроза Anubis, являющаяся разновидностью угроз семейства Bankbot, оснащена рядом очередных технологий. Она поддерживает функции программы-вымогателя, клавиатурного шпиона, RAT, перехвата SMS, блокировки экрана и переадресации вызовов. В условиях появления все более изощренных, постоянно изменяющихся атак крайне важно отслеживать тенденции их развития при помощи актуальных данных об угрозах.
- Использование злоумышленниками гибких технологий разработки вредоносного ПО. Разработчики вредоносного ПО уже давно используют свойство полиморфизма для обхода механизмов выявления атак. Как показывают тенденции 2018 года, преступники все чаще обращаются к гибким методикам разработки в целях усложнения выявления вредоносного ПО и противодействия тактикам защиты от вредоносных программ. В 2018 году было обнаружено множество версий угрозы GandCrab, и разработчики этой вредоносной программы регулярно обновляют ее. Таким образом, к числу факторов риска можно отнести не только автоматизацию атак с использованием вредоносного ПО, но и применение гибких технологий разработки, что свидетельствует о высокой квалификации злоумышленников в сфере создания более скрытных версий атак. Противодействие применяемым преступниками гибким методикам разработки требует внедрения передовых функций выявления угроз и защиты от них, при помощи которых можно устранить наиболее подверженные рискам уязвимости.
- Эффективное поражение уязвимостей. Злоумышленники проявляют большую избирательность в выборе целей. На сентябрь 2018 года, в ходе анализа эксплойтов с точки зрения распространенности и количества случаев их выявления было обнаружено, что на практике преступники используют только 5,7% известных уязвимостей. Если подавляющее большинство уязвимостей не будет использовано, более целесообразно направить усилия на разработку превентивной стратегии устранения уязвимостей, часто становящихся проводниками атак.
- Использование приложений в образовательных и государственных учреждениях. По результатам сравнения показателей на 2018 год использования приложений в различных отраслях можно сделать вывод, что частота использования SaaS-приложений в государственных учреждениях на 108 % превышает средний уровень. По данным на сентябрь 2018 года, по показателю общего количества ежедневно используемых приложений отрасль уступает только сфере образования: это значение на 22,5 % и 69 % выше среднего, соответственно. Вероятной причиной более высокого показателя использования приложений в этих двух отраслях является повышенная потребность в более широком разнообразии приложений. Действующие в этих сферах организации нуждаются в таком подходе к безопасности, который преодолевает разрозненность приложений, обеспечивая реализацию функций отслеживания и управления безопасностью во всех расположениях, в том числе в многооблачных средах развертывания приложений.
По информации компании, противодействие развивающимся атакам требует внедрения интегрированной системы безопасности, оснащенной функцией сбора данных об угрозах. Результаты проведенного исследования подтверждают многие из прогнозов на 2018 года, обнародованных отделом исследования угроз FortiGuard Labs. Залогом эффективной защиты от угроз является адаптивная система сетевой безопасности, охватывающая все направления атак и состоящая из интегрированных компонентов. Такой подход обеспечивает широкомасштабный сбор и оперативный обмен актуальными данными об угрозах, ускоряет их выявление и поддерживает автоматизированное принятие мер реагирования на современные атаки по разным направлениям.
Как сообщалось, в отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети датчиков с апреля по май 2018 года. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Также в отчете приведены сведения об основных уязвимостях «нулевого дня» и обзор тенденций развития инфраструктуры, благодаря которым можно выявить закономерности проведения кибератак во времени и предотвратить будущие атаки, направленные на организации.
Эксперты предупредили о новой угрозе криминального криптомайнинга
Эксперты в области кибербезопасности предупреждают об угрозе вредоносных приложений, содержащих скрытый код и способных захватить мобильные устройства для нелегального майнинга кприптовалют. Это могут быть как криптоджекинговые атаки, так и программы с троянским кодом. Несмотря на то, что интерес к криптовалютам медленно идет на спад, опасность заражения гаджетов высока. По данным «Лаборатории Касперского», количество пользователей, столкнувшихся с криминальными майнерами, в 2017–2018 гг. выросло на 44,5% по сравнению с 2016–2017 гг. Количество вредоносных объектов для мобильных устройств в первом полугодии 2018 г. увеличилось почти на 74% по сравнению с первым полугодием предыдущего года [24] .
Добыча криптовалюты может принести прибыль, но при этом требует высоких первоначальных инвестиций и сопровождается серьезными затратами на электроэнергию. Это подтолкнуло хакеров к поиску альтернативных решений и, в частности, к использованию процессоров смартфонов. Вычислительная мощность мобильных телефонов, доступная злоумышленникам, относительно невелика, но таких устройств очень много и, следовательно, в общей совокупности они предоставляют большой потенциал, при этом, оставляя владельцам смартфонов расходы на электроэнергию и износ. Чаще всего для криминального майнинга мошенники используют несколько схем заражения устройств.
Киберпреступники утратили интерес к майнингу криптовалюты
Интерес киберпреступников к незаконному майнингу постепенно ослабевает в результате снижения цен на криптовалюту, следует из опубликованного MalwareBytes Labs отчета [25] [26] .
Согласно данным отчета, несмотря на то, что так называемый криптоджекинг (практика использования вычислительной мощности компьютера для майнинга криптовалюты без согласия или ведома владельца) остается сравнительно популярным, прослеживается тенденция к уменьшению числа инцидентов, связанных с данным методом.
Как следует из доклада, злоумышленники теряют интерес к данному методу из-за недостаточно больших доходов. Недавнее снижение активности в основном касается обычных пользователей, в частности снизилось количество случаев обнаружения вредоносных программ для майнинга крипотвалют для ОС Windows, однако общее количество инцидентов за квартал остается сравнительно высоким.
Согласно отчету, после массового всплеска активности в конце 1-го квартала 2018 года, количество майнеров для Android-устройств также пошло на спад. При этом во втором квартале было зафиксировано почти в 2,5 раза больше случаев обнаружения майнеров для мобильных устройств.
Как утверждается в докладе, активность, связанная с сервисом Coinhive, позволяющим майнить криптовалюту в браузере пользователя, остается сравнительно высокой. Помимо этого, появляются и другие схожие сервисы, такие как Cryptoloot. По словам специалистов, злоумышленники все чаще «используют браузерные майнеры с открытым исходным кодом и адаптируют их для своих потребностей».
Китайские хакеры взломали более 1 млн компьютеров с целью майнинга криптовалюты
В июле 2018 года стало известно, что сотрудники китайской полиции арестовали 20 участников преступной группировки, взламывавшей и заражавшей компьютеры пользователей майнерами криптовалют. По данным местных СМИ, за два года злоумышленники, являвшиеся сотрудниками фирмы, специализировавшейся на компьютерных технологиях, заработали более $2 млн в криптовалюте [27] .
Хакеры получали доступ к компьютерам с помощью кастомных плагинов, якобы помогающих усилить безопасность устройства или увеличить его производительность. Плагины распространялись посредством всплывающих рекламных объявлений.
Преступники предпочли добывать менее известную криптовалюту, в частности, DigiByte, Decred, Siacoin, поскольку для майнинга монет требуется меньше вычислительной мощности. Хакеры рассчитывали на то, что при задействовании менее 50% ресурсов их деятельность останется незамеченной пользователями или антивирусными решениями.
Впервые дали тюремный срок за скрытый майнинг
В начале июля 2018 года стало известно о первом случае, когда дали реальный тюремный срок за криптоджекинг.
Как пишет портал ZDNet со ссылкой на издание Kahoku, 24-летний житель Японии Йошида Шинкару (Yoshida Shinkaru) был признан виновным в незаконной добыче криптовалют при помощи компьютеров пользователей без их согласия.
Как уточняет сайт Bitcoin.com со ссылкой на анонимный источник, Шинкару задействовал скрипт для майнинга криптовалюты Monero — Coinhive, включив его в игровую чит-утилиту. Эту программу, которая была размещена в блоге майнера, загрузили лишь 90 раз, прежде чего его разоблачили.
Coinhive изначально использоваться в качестве рекламного инструмента и обычно встраивается в браузере, однако Шинкару использовал инструмент в виде загружаемой составляющей. Даже в этом случае доказать состав преступления не составило труда. Многие блокировщики рекламы давно отключают Coinhive от работы в браузере.
Незаконную добычу криптовалют Йошида Шинкару вел с января по февраль 2018 года и за это время смог заработать лишь 5 тыс. иен (около $45). Несмотря на маленькую сумму заработка незадачливого пользователя приговорили к году тюрьмы с отсрочкой наказания на три года. То есть, обвиненный гражданин Японии останется на свободе, но, если он нарушит условия условного наказания, он отправится за решетку на год.
Стоит сказать, что использование чит-инструментов в онлайн-играх в Японии является незаконным, поскольку они запрещены законом о противодействии недобросовестной конкуренции.
24-летний японец стал первым осужденным за использование Coinhive, что теперь может стать прецедентом. Дело в том, что в конце июня 2018 года в Японии были задержаны еще 16 человек, которые так же занимались криптоджекингом. Их подозревают во взломе сайтов и встраивании в код скомпрометированных ресурсов скриптов Coinhive. [28]
Криптомайнеры атаковали 40% организаций во всем мире
Согласно отчету lobal Threat Impact Index за май 2018 года, подготовленному компанией Check Point Software Technologies, поставщиком решений в области кибербезопасности, криптомайнер Coinhive атаковал 22% организаций. Таким образом, по сравнению с апрелем (16%) количество атак увеличилось почти на 50%.
Пятый месяц подряд рейтинг топ-10 активных зловредов Check Point Global Threat Index возглавляет криптомайнер. В мае Coinhive по-прежнему сохраняет первенство среди самых распространенных вредоносных программ. Еще один криптомайнер Cryptoloot расположился на втором месте (11%), на третьем — вредоносное рекламное ПО Roughted (8%).
Исследователи Check Point также отмечают, что киберпреступники продолжают эксплуатировать незакрытые серверные уязвимости Microsoft Windows Server 2003 (CVE-2017-7269) и Oracle WebLogic (CVE-2017-10271) для атак на корпоративные сети. В мировом масштабе 44% организаций подверглись атакам на уязвимости Microsoft Windows Server 2003, 40% — на Oracle WebLogic и 17% были подвержены влиянию внедрения SQL-кода, говорится в отчете Check Point.
В целом вредоносный криптомайнинг затронул почти 40% организаций в мае и продолжает быть самой распространенной киберугрозой, заключили эксперты компании. Очевидно, что злоумышленники считают этот метод прибыльным и эффективным.
Самыми активными зловредами в мае 2018 года названы:
- CoinHive — криптомайнер, предназначенный для добычи криптовалюты Monero без ведома пользователя, когда тот посещает веб-сайты.
- Cryptoloot — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.
- Roughted — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.
В рейтинге самого активного вредоносного ПО для атак на российские организации расположились уже упомянутые криптомайнеры. Так, самыми активными зловредами стали вредоносные криптомайнеры Cryptoloot (40%) и Coinhive (36%), за ними на третьем месте расположился набор эксплоитов Rig EK (21%).
Lokibot, банковский троян для Android, который предоставляет привилегии суперпользователя для загрузки вредоносного ПО, в мае стал самым популярным вредоносным ПО, используемым для атаки на мобильные устройства организаций, за ним следуют Triada и Lotoor.
Самые активные мобильные зловреды мая 2018:
- Lokibot — банковский троян для Android, который крадет пользовательские данные и требует за них выкуп. Зловред может заблокировать телефон, если удалить его права администратора.
- Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам.
- Lotoor — инструмент для взлома, который использует уязвимости в ОС Android, чтобы получить привилегии суперпользователя на взломанных мобильных устройствах.
Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. На первом месте — уязвимость CVE-2017-7269 (переполнение приемного буфера Microsoft IIS WebDAV ScStoragePathFromUrl) с глобальным охватом 46%, затем CVE-2017-10271 (удаленное выполнение кода Oracle WebLogic WLS) — 40%, на третьем месте — уязвимость типа «внедрение SQL-кода», затрагивающая 16% организаций во всем мире.
Приложения со скрытыми майнерами в Google Play загрузили сотни тысяч раз
В начале апреля 2018 года антивирусная компания «Лаборатория Касперского» сообщила о присутствии в каталоге Google Play приложений, которые втайне от пользователей добывают криптовалюту. Некоторых из таких программ загрузили более 100 тыс. раз, сообщает издание ZDNet.
Среди приложений со встроенными криптовалютными майнерами — игры, VPN-сервисы и программа для вещания спортивных трансляций.
Одно из таких приложений — PlacarTV с встроенным в майнером Coinhive, добывающим криптовалюту Monero, — было скачана с Google Play более 100 тыс. раз. PlacarTV удалили из магазина только после того, как эксперты «Лаборатории Касперского» указали на ее опасность.
Однако не все такие нежелательные программы быстро удаляются из Google Play. Так, приложение для создания VPN-соединения Vilny.net, в которое, по данным «Лаборатории Касперского», тоже встроен майнер, по-прежнему доступно для скачивания к моменту написания статьи.
Интересно, что оно Vilny.net уровень заряда устройства и его температуру — таким образом риск обнаружения снижается до минимума. Приложение скачивает исполняемый файл майнера с сервера и запускает его в фоновом режиме. Vilny.net скачали более 50 тыс. раз, большая часть загрузок пришлась на Россию и Украину.
Особую опасность обнаруженных криптомайнеров эксперты объясняют тем, что программы действительно выполняют заявленные в описании полезные функции, а потому работу скрытого модуля сложно заметить. Например, майнеры оказались встроены в программы, предназначенные, судя по официальному описанию, для просмотра футбола.
Чтобы не стать жертвой незаконного майнинга, в «Лаборатории Касперского» рекомендуют выполнять следующее: обращать внимание на беспричинную разрядку или сильное нагревание устройства, проверять репутацию разработчиков перед загрузкой программы и пользоваться антивирусом. [29]
42% компаний во всем мире пострадали от криптомайнинга
Согласно данным Check Point Software Technologies, поставщика решений в области кибербезопасности, от незаконной добычи криптовалюты в феврале 2018 года пострадало 42% компаний во всем мире. Информация об этом содержится в отчете Global Threat Impact Index.
Исследователи Check Point выявили три различных варианта вредоносных криптомайнеров, которые вошли в топ-10 активных зловредов. Первое место рейтинга сохраняет CoinHive, который атаковал каждую пятую организацию в мире. На второе место поднялся Cryptoloot, в феврале вредоносный майнер атаковал вдвое больше компаний, чем в предыдущем месяце. По данным Check Point, в январе от Cryptoloot пострадало 7% организаций, а в феврале — уже 16%. Следом за криптомайнерами расположился набор эксплойтов Rig EK, который занял третье место рейтинга благодаря атакам на 15% компаний мира.
По данным Check Point, в феврале 2018 количество атак на российские компании сохранилось на прежнем уровне. Россия заняла в рейтинге Global Threat Index 73 место, при этом в топ-3 активных зловреда, атакующих российские организации, также вошли Coinhive и Cryptoloot.
Больше всего в феврале атакам подверглись Ботсвана, Камерун и Новая Каледония. Меньше всего атаковали Лихтенштейн, Гернси и Киргизстан.
Самыми активными мобильными зловредами февраля 2018 года стали:
- Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам.
- Lokibot — банковский троян для Android, который крадет пользовательские данные и требует за них выкуп. Зловред может заблокировать телефон, если удалить его права администратора.
- Hiddad — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей.
Специалисты Check Point отметили на карте уровень киберугроз по странам (зеленый — низкий уровень риска; красный — высокий; белый — недостаточно данных):
Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов.
Хакеры будут майнить с помощью бытовой техники
Эксперты американской аналитической компании Stratfor пришли к выводу, что хакеры смогут в будущем использовать «умный дом» для добычи криптовалюты, сообщают в феврале 2018 года «Известия» [30] .
Опасность грозит всем устройствам, входящим в систему «умного дома». Предположительно хакеры смогут майнить посредством прямой атаки или же заражением техники вирусом.
Также аналитики считают, что взломщиков будут первочерёдно интересовать программные ассистенты, поскольку у них есть полный доступ к технике пользователя.
Основная статья Умный дом
От криптомайнеров пострадала каждая пятая компания
Согласно отчету Check Point Software Technologies Global Threat Intelligence Trends за второе полугодие (июль – декабрь) 2017 года, киберпреступники все чаще используют криптомайнеры, а организации по всему миру продолжают подвергаться атакам программ-вымогателей и вредоносных рекламных программ. Так, по данным исследователей, за период с июля по декабрь 2017 года. от незаконного майнинга криптовалюты пострадала каждая пятая компания. С помощью этого вредоносного ПО киберпреступники получают доступ к ресурсам центрального процессора или видеокарты на ПК жертвы и используют их для добычи криптовалют. Уровень потребления может достигать 65% мощности ЦП.
Ключевые тренды киберугроз:
- Ажиотаж вокруг майнинга криптовалюты.
- Программы-криптомайнеры чаще всего используются для майнинга криптовалюты в личных целях. Однако из-за растущего внимания общества к виртуальным деньгам процесс майнинга, который напрямую зависит от числа владельцев криптовалют, затормозился. В результате для майнинга требуется намного больше вычислительной мощности, что побуждает хакеров придумывать новые способы незаконного использования ресурсов.
Эксплойты теряют популярность.
- Еще год назад эксплоит-киты были одним из главных векторов атак. Однако в 2017 году они применялись значительно реже, потому что платформы и программы, которые уже становились жертвами эксплойтов, улучшили свою защиту. «Срок годности» новых эксплойтов сокращается и благодаря оперативным совместным действиям вендоров по безопасности и разработчиков софта и автоматическим обновлениям ПО.
Рост мошенничества и вредоносного спама.
- В течение 2017 года соотношение между зловредами, которые используют протоколы HTTP и STMP, сместилось в сторону SMTP. Объем таких атак вырос с 55% в первом полугодии до 62% во втором. Популярность этих методов распространения привлекла внимание опытных хакеров. Они применяют свои умения для взлома документов, в особенности Microsoft Office.
Мобильное вредоносное ПО вышло на уровень предприятий.
- В течение 2017 года фиксировались атаки на компании, источниками которых стали мобильные устройства. Так, смартфоны и планшеты, зараженные зловредом MilkyDoor, использовались в качестве серверов-посредников для сбора конфиденциальных данных из корпоративной сети. Еще один пример мобильных угроз — вредоносное ПО Switcher, которое пытается взломать элементы сети (например, маршрутизаторы) и перенаправить трафик на подконтрольный хакерам сервер.
Среди других тенденций киберугроз в Check Point отметили также следующие:
- программы-вымогатели, появившиеся еще в 2016 году, остаются серьезной угрозой. Их используют как для масштабных атак по всему миру, так и для целевых нападений на конкретные организации.
- 25% взломов за отмеченный период были сделаны через уязвимости, обнаруженные более десяти лет назад.
- Менее 20% атак проводились через бреши в защите, которые известны около двух лет.
Топ-3 вредоносного ПО
- Roughted (15,3%) — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.
- Coinhive (8,3%) — программа-криптомайнер, разработанная для онлайн-майнинга криптовалюты Monero без ведома пользователя при посещении им определенных сайтов. Зловред Coinhive появился только в сентябре 2017 года, но уже успел заразить 12% организаций по всему миру.
- Locky (7,9%) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.
Топ-3 программ-вымогателей
- Locky (30%) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.
- Globeimposter (26%) — вымогатель, замаскированный под шифровальщик Globe ransomware. Был обнаружен в мае 2017 года и распространялся с помощью спам-кампаний, вредоносной рекламы и эксплойт-китов. После шифрования программа добавляет расширение .crypt к каждому зашифрованному файлу.
- WannaCry (15%) — вымогатель, который получила широкое распространение во время крупномасштабной атаки в мае 2017 года. Он распространяется по сетям с помощью эксплоита для блока серверных сообщений (SMB) Windows под названием EternalBlue.
Топ-3 мобильных зловредов
- Hidad (55%) — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
- Triada (8%) — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, чтобы они могли внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
- Lotoor (8%) — инструмент взлома, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.
Топ-3 вредоносного ПО для банков
- Ramnit 34% — банковский троян, который похищает данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.
- Zeus 22% — троян, который атакует устройства на платформе Windows и часто используется для кражи банковской информации с помощью технологий типа «человек-в-браузере» — кейлоггинга и захвата содержимого форм.
- Tinba 16% — банковский троян, который похищает данные учетных записей пользователя с помощью веб-инъекций. Они активируются, когда пользователь пытается зайти на сайт своего банка.
Вирус-майнер WannaMine
На смену вирусу-вымогателю WannaCry, который активно паразитировал в 2017 году, пришёл обновлённый вирус-майнер WannaMine, сообщает «Газета.ру».
Он тоже успешно занимается незаконной добычей криптовалюты за счет чужих компьютерных мощностей. WannaMine, как и предшественник WannaCry, был создан на основе базы эксплойта EternalBlue. Эта программа, находящая уязвимости в программном обеспечении, была также «создателем» и вируса Petya. Считается, что EternalBlue создали в Агентстве национальной безопасности США. Вирус поражает ПК пользователей с целью скрытого майнинга виртуальной валюты Monero.
Существует множество способов заражения: WannaMine может попасть на устройство через устанавливаемый файл или же прямой атакой на ПК. Далее вирус использует инструмент Mimikatz для получения данных. Если взломать систему не получается, вирус задействует пресловутый эксплойт. Если компьютер связан локальной или корпоративной сетью с другой техникой, то WannaMine использует эту возможность для заражения других ПК.
Помимо того, что вирус незаконно майнит, он сильно понижает работоспособность техники. Следует отметить, что антивирусы его не выявляют и, тем более, не устраняют его. Если же вирус получилось обнаружить, единственный верный способ избавиться от него: создать резервную копию всех данных, форматировать накопитель, а потом переустановить операционную систему и программы.
В YouTube нашли скрытые майнеры криптовалюты
Криптовалюту научились добывать даже на самом популярном видеохостинге YouTube, сообщило издание Arstechnica [31] .
Добыча криптовалюты за счет мощностей чужих компьютеров осуществляется с помощью рекламы. Программисты встраивают специальный код в рекламные сообщения через платформу DoubleClick от компании Google, добывать же валюту позволяя с помощью сервиса CoinHive.
Когда пользователи просматривают ролик с данным вредоносным кодом, мошенники добывают за их счет криптовалюту Monero. В свою очередь, эти пользователи получают большую нагрузку на свои компьютеры.
Обнаружить данную схему удалось обычным пользователям с помощью антивирусной программы Avast. После этого Google заблокировала доступ к соответствующим рекламным объявлениям.
Check Point: криптомайнеры атаковали 55% компаний в мире
Компания Check Point зафиксировала в декабре резкий рост распространения вредоносного ПО для майнинга криптовалюты. Исследователи Check Point обнаружили, что в декабре криптомайнеры атаковали 55% компаний во всем мире. При этом 10 разновидностей этого вредоносного ПО попали в топ-100 самых активных киберугроз, а два из них вошли в тройку лидеров. Используя криптомайнеры злоумышленники захватывают контроль над центральным процессором или видеокартой и используют их ресурсы для добычи криптовалюты.
Check Point обнаружил, что вредоносное ПО для майнинга криптовалюты целенаправленно внедрялось в популярные веб-сайты без ведома пользователей, большинство таких сайтов — это сервисы стриминговых медиа и файлообменники. Хотя в основном такие сервисы являются легальными, их можно взломать, чтобы генерировать больше мощности и получать доход, используя до 65% ресурсов ЦП пользователя.
В декабре ПО для майнинга криптовалюты CoinHive сместило с лидирующей позиции вредоносную рекламу RoughTed, в то время как набор эксплойтов Rig ek сохранил второе место рейтинга. Новый криптомайнер Cryptoloot замкнул тройку самых активных зловредов декабря, впервые войдя в топ-10.
Эксперты Check Point выявили ключевые тренды киберугроз во втором полугодии 2017:
- Ажиотаж вокруг майнинга криптовалюты. Программы-криптомайнеры чаще всего используются для майнинга криптовалюты в личных целях. Однако из-за растущего внимания общества к виртуальным деньгам процесс майнинга, который напрямую зависит от числа владельцев криптовалют, затормозился. В результате для майнинга требуется намного больше вычислительной мощности, что побуждает хакеров придумывать новые способы незаконного использования ресурсов.
- Эксплойты теряют популярность. Еще год назад эксплоит-киты были одним из главных векторов атак. Однако в 2017 г. они применялись значительно реже, потому что платформы и программы, которые уже становились жертвами эксплойтов, улучшили свою защиту. «Срок годности» новых эксплойтов сокращается и благодаря оперативным совместным действиям вендоров по безопасности и разработчиков софта и автоматическим обновлениям ПО.
- Рост мошенничества и вредоносного спама. В течение 2017 года соотношение между зловредами, которые используют протоколы HTTP и SMTP, сместилось в сторону SMTP. Объем таких атак вырос с 55% в первом полугодии до 62% во втором. Популярность этих методов распространения привлекла внимание опытных хакеров, владеющих более совершенными практиками взлома. Они применяют свои умения для взлома документов, в особенности Microsoft Office.
- Мобильное вредоносное ПО вышло на уровень предприятий. В течение прошлого года мы видели атаки на компании, источниками которых стали мобильные устройства. Так, смартфоны и планшеты, зараженные зловредом MilkyDoor, использовались в качестве серверов-посредников для сбора конфиденциальных данных из корпоративной сети. Еще один пример мобильных угроз — вредоносное ПО Switcher, которое пытается взломать элементы сети (например, маршрутизаторы) и перенаправить трафик на подконтрольный хакерам сервер.
Сайт Минздрава Сахалина использовался для добычи криптовалюты за счет ресурсов посетителей
На сайте электронной регистратуры, через которую можно записаться в ряд лечебных учреждений на Сахалине, неопределенное время работал скрипт, добывающий криптовалюту с помощью ресурсов компьютеров посетителей этого ресурса. Такое открытие сделал один из пользователей новостного и сервисного портала Сахалина и Курил sakh.com [32] .
После обращения этого пользователя в региональный минздрав скрипт с сайта был удален. «Сколько пользователей «пожертвовали» свои ресурсы ради обогащения предприимчивого системного администратора регистратуры или неизвестного злоумышленника, не установлено», — сообщает новостной ресурс sakh.com — sakhalin.info.
По мнению его коллег, вероятнее всего вредоносный код добывал криптовалюту monero — электронных монет с нетрадиционной криптографией для обеспечения повышенной анонимности пользователей.
ФСБ арестовала сисадмина аэропорта «Внуково» за майнинг криптовалюты
Сотрудниками Федеральной службы безопасности в декабре 2017 года проведены обыски в Московском центре управления воздушным движением в аэропорту «Внуково». Поводом к этому стало обращение руководителей центра в правоохранительные органы с жалобой на постоянные скачки напряжения.
В ходе обыска сотрудники ФСБ выяснили, что их причиной стало создание одним из системных администраторов фермы для майнинга криптовалюты, которая была подключена к электрической сети аэропорта. Сотрудник аэропорта задержан ФСБ, расследование продолжается, сообщил телеграм-канал Mash, сославшийся на собственные источники.
Также в декабре 2017 года попытках майнинга криптовалюты в «Транснефти» сообщил экс-министр внутренних дел, вице-президент этой компании Владимир Рушайло. Выступая на экспертном совете компании по кибербезопасности, он заметил, что это могло помешать технологическим процессам компании.
Мессенджер Facebook использовали для майнинга
Неизвестные хакеры взломали мессенджер популярной социальной сети и запустили в его программе вирус для майнинга, сообщает портал Coinspot [33] .
Специалисты из TrendLabs, заведующие кибербезопасностью, обнаружили новый вирус. Этот вирус, бот-майнер, активизируется при использовании Facebook Messenger. Используя ресурсы гаджета, виртуальный майнер качает криптовалюту Monero. Ему уже дали название – Digmine.
Digmine содержится только в десктопной версии Messenger, в файле «video_xxxx.zip». Сразу же при открытии приложения вирус докачивает необходимые для майнинга компоненты, а после начинает добывать виртуальную валюту. Но на этом ничего не заканчивается: кибервирус также устанавливает в браузере Chrome нужное расширение, благодаря которому получает доступ к данным в Facebook, затем он передаётся дальше по интернету.
Изначально Digmine был обнаружен в Южной Корее, затем он появился и в других странах: Азербайджане, Украине, Вьетнаме, Филиппинах, Таиланде и Венесуэле. Скорость распространения вредоносного ПО очень большая, и эксперты считают, что в скором времени бот обнаружит себя и в других странах. Само заражение совершается через ссылки на видеофайлы в браузере Google Chrome и в приложение Facebook Messenger.
Добыча биткоинов сотрудниками правительстве Крыма
Два сотрудника Совета министров Крыма поплатились своими должностями за установку программного обеспечения для майнинга биткоинов на сервер правительства. Об этом на пресс-конференции в Севастополе в сентябре 2017 года сообщил руководитель комитета по противодействию коррупции Крыма Александр Акшатин [34] .
Глава комитета пояснил, что речь идет о двух специалистах, работавших в ИТ-подразделении. По словам Акшатина, также они поставили на сервер крымского правительства вредоносное программное обеспечение, которое открывало доступ к хранящейся на нем информации. Параллельно в подвале здания было запущено более десятка компьютеров, которые давали этот доступ.
Глава комитета отметил, что злоумышленникам удалось заработать немного. «Точно не могу сказать, но меньше одного биткоина. Тогда [в феврале—марте 2017 года] биткоин был $1800, сейчас он стоит $4000. Если даже полбиткоина — это какие-то деньги», — заметил Акшатин, подчеркнув, что обналичить криптовалюту уволенные не успели.
В Opera появится функция защиты от майнеров криптовалюты
Opera станет первым браузером, в котором будет реализована защита от майнеров, встроенных в сайты и использующих мощности компьютеров пользователей для добычи криптовалюты. Функция под названием NoCoin находится на конец 2017 года на стадии разработки, сообщает Bleeping Computer. Она включена в Opera 50 Beta RC и должна появиться в стабильной версии Opera 50, которая выйдет в январе 2018 года.
Starbucks обвиняют в незаконном майнинге
Известная мировая сеть кофеен Starbucks была замечена в неприятном инциденте с криптовалютами. Выяснилось, что в столице Аргентины Буэнос-Айресе провайдер кофейни использовал Wi-Fi заведения для майнинга. При подключении к бесплатному интернету в технике клиентов активировался код CoinHive, предназначенный для добычи криптовалюты, сообщает Cointelegraph [35] .
На это обратил внимание глава разработчика сервиса корпоративной почты Stensul Ноа Динкин. Во время посещения кафе он заметил десятисекундную задержку при подключении ноутбука. При выяснении причины маленькой проблемы, он выявил специальный скрипт-код, который используется для майнинга криптовалюты Monero.
Спустя некоторое время представитель сети заверил пользователей, что в компании уже разобрались с этой проблемой, выйдя на связь со своим интернет-провайдером, и теперь клиенты могут спокойно подключаться к интернету, не боясь, что их технику будут как-либо использовать. Также представитель Starbucks подчеркнул, что данная проблема касалась только сети в Буэнос-Айресе, а в кофейнях других городов и других стран такого не происходило.
На официальном сайте D-Link обнаружен майнер криптовалюты
Исследователи безопасности из компании Seekurity обнаружили на сайте D-Link (dlinkmea[.]com) Javascript-майнер, позволяющий добывать криптовалюту Monero [36] [37] .
Исследователям стало известно о проблеме после того, как пользователь соцсети Facebook Ахмед Самир (Ahmed Samir) сообщил, что во время посещения сайта нагрузка на центральный процессор резко возросла. При каждом открытии страницы загружался отдельный домен со скрытым элементом iframe, содержащий скрипт, позволяющий майнить криптовалюту прямо в браузере пользователя.
После того, как исследователи уведомили D-Link об инциденте, компания полностью отключила web-сайт и начала перенаправлять пользователей на американскую версию ресурса (us.dlink.com). По словам исследователей, полное отключение сайта вместо удаления одной строки кода со скрытым элементом iframe может свидетельствовать о кибератаке на портал D-Link.
В Google Chrome может появиться защита от криптомайнеров
Инженеры Google рассматривают возможность добавления в браузер Google Chrome специальных инструментов, которые будут препятствовать майнингу криптовалюты.
Дискуссии на тему программ-майнеров, встроенных в сайты и работающих прямо в браузере, в компании ведутся с середины сентября 2017 года, когда был запущен первый проект такого рода — Coinhive [38] .
Как сообщил один из разработчиков Chrome Ойан Вафай (Ojan Vafai), противостоять скрытым майнерам предлагается [39] по следующей схеме: если сайт использует больше чем X% процессорных мощностей в течение Y секунд, то такая страница будет переведена в «энергосберегающий режим», в котором активность всех подозрительных процессов будет жестко ограничена. Затем на экране отобразится всплывающее уведомление, позволяющее пользователю отключить данный режим. Если вкладка, находящаяся в «энергосберегающем режиме» неактивна, то выполнение процессов полностью прекращается.
Применение данного метода пока находится на стадии обсуждения и официально не одобрено Google. Как заявили представители компании, на данный момент нет возможности заблокировать встроенные в сайты майнеры полностью, поскольку разработчики ПО для майнинга могут с легкостью модифицировать код для обхода блокировки. Пока для блокировки работы криптомайнеров пользователи могут установить расширения наподобие AntiMiner, No Coin и minerBlock.
500 млн компьютеров используются для тайного майнинга криптовалюты
Торрент-трекер The Pirate Bay был уличен в тайном майнинге криптовалюты за счет пользователей и, судя по всему, его примеру последовали сотни других ресурсов. По данным экспертов Adguard [40] , 2,2% сайтов из рейтинга ТОП-100000 Alexa переняли практику и теперь применяют различные майнеры, предназначенные для использования мощностей центральных процессоров компьютеров для добычи криптовалюты [41] .
Наиболее распространенными майнерами криптовалюты являются CoinHive и JSEcoin.
В общей сложности исследователи обнаружили 220 сайтов, запускающих процесс майнинга в момент, когда пользователь открывает главную страницу ресурса. Суммарно аудитория данных сайтов составляет примерно 500 млн пользователей. По оценкам Adguard, данные домены всего за три недели заработали порядка $43 тыс. без каких-либо затрат. Наибольшее число сайтов-«майнеров» зафиксировано в США (18,66%), Индии (13,4%), России (12,44%) и Бразилии (8,13%).
В основном в числе сайтов, добывающих криптовалюту за счет пользователей, торрент-трекеры, пиратские ресурсы, сайты «для взрослых» и т.п. Подобные сомнительные ресурсы, как правило, не получают большого заработка от рекламы, поэтому они открыты для экспериментов и инноваций, поясняется в исследовании Adguard. Отметим, что иногда майнеры используются и на «белых» ресурсах – в конце сентября в подобной практике уличили сайты компании Showtime. К слову, 11 сентября пиратский ресурс The Pirate Bay вновь добавил код CoinHive, но отключить его уже нельзя. Как подсчитали специалисты, при условии, что администрация ресурса не будет отключать майнер, в месяц The Pirate Bay сможет зарабатывать примерно $12 тыс.
Постепенно антивирусы и блокировщики рекламы начинают блокировать скрипты криптомайнеров. При этом обычно пользователю предоставляется выбор — блокировать майнер или же разрешить ему работать.
Расширение для Google Chrome тайно майнит криптовалюту
В коде популярного расширения SafeBrowse (версия 3.2.25) для браузера Google Chrome в сентябре 2017 года обнаружен скрипт JavaScript, заставлявший браузеры пользователей майнить криптовалюту. Странное поведение расширения не осталось незамеченным, поскольку нагрузка на центральный процессор возрастала, что значительно влияло на производительность «инфицированного» компьютера [42] .
В исходном коде расширения был обнаружен встроенный майнер Coinhive JavaScript Miner – браузерная версия алгоритма CryptoNight, используемого Monero, Dashcoin, DarkNetCoin и прочими криптовалютами. В настоящее время Coinhive JavaScript Miner поддерживает только майнинг Monero.
Данная проблема затрагивает практически всех пользователей, установивших SafeBrowse. Как выяснилось, сами разработчики SafeBrowse не подозревали о его странном поведении. По их словам, программа не обновлялась несколько месяцев, в связи с чем, они высказали предположение, что речь идет о взломе. Авторы SafeBrowse разбираются в ситуации совместно с командой Google.
Майнинг криптовалют вместо рекламы в интернете
В сентябре 2017 года стало известно о тестировании сайтами нового способа монетизации вместо традиционной рекламы. Речь идет о добыче (майнинге) криптовалют.
Один из крупнейших в мире торрент-трекеров Pirate Bay начал использовать компьютеры своих посетителей для добычи криптовалюты Monero. Скрытый код был использован на некоторых веб-страницах портала в качестве альтернативы распространению рекламы. Скрипт автоматически запускается при открытии страницы и использует мощности компьютера посетителя для добычи криптовалюты.
Администрация сайта поясняет, что включение криптовалютного скрипта является экспериментом, цель которого — выяснить, сможет ли трекер получать достаточно прибыли без использования онлайн-рекламы. К 21 сентября 2017 года курс одной единицы Monero составляет около $94.
Эксперимент Pirate Bay начался без предупреждения пользователей. Порталу пришлось сделать официальное заявление после многочисленных жалоб посетителей сайта на высокую загрузку процессора во время визита на торрент-трекер. Некоторые пользователи заметили, что в коде сайта появился JavaScript-майнер, который и вызывал высокую нагрузку на компьютеры.
Позже представители ресурса заявили, что высокая нагрузка на компьютеры вызвана технической недоработкой, и пообещали, что в будущем скрипт будет использовать не более 20-30% мощностей ПК и работать только в одной вкладке браузера. По словам представителей Pirate Bay, сайт может полностью отказаться от традиционной рекламы в пользу добытчиков криптовалюты. [43]
Данные «Лаборатории Касперского» по распространению
Число атак хакеров, связанных с криптовалютными вредоносами, выросло на 50% в 2017 г. Такие данные приводит в своем исследовании «Лаборатория Касперского». Число пострадавших пользователей составила 2,7 млн человек против 1,9 млн годом ранее [44] .
При этом отдельные группировки взломщиков зарабатывали на этом миллионы. Основными способами распространения майнеров стали потенциально нежелательные приложения, распространяемые через партнерские программы, а также выполняемые в браузере скрипты, наподобие Coinhive. Только этот скрипт программы «Лаборатории» блокировали более 70 млн раз.
Многие группы взломщиков ради увеличения прибыли атакуют не только простых пользователей, но и крупный бизнес, который привлекателен из-за наличия большей вычислительной мощности. Например, майнер Wannamine был распространен с помощью эксплойта EternalBlue во внутренних сетях ряда компаний, принеся своим создателям более $2 млн. На майнерах-ботнетах киберпреступники заработали более $7 млн во второй половине 2017 г, прибыль одной из групп составила $5 млн.
За последние четыре года количество инцидентов с троянцами-майнерами выросло более чем в восемь раз. Пик пришелся на 2016 год, когда эксперты насчитали более 1,8 млн заражений.
Чаще всего троянцы-майнеры занимаются генерацией двух видов валют — Zcash и Monero. Поскольку обе эти разновидности криптовалюты поддерживают анонимные транзакции, они пользуются особым расположением у киберпреступников. Валюта Zcash появилась на свет только в конце 2016 года, но уже успела снискать изрядную популярность.
Сразу несколько крупных операций были отмечены в течение 2017 года.
- В январе майнер Monero начала распространяться с помощью набора эксплойтов Terror Exploit Kit
- Майнер малоизвестной валюты Adylkuzz распространялся с помощью эксплойта АНБ EternalBlue
- Ботнет Bondnet распространил криптомайнер Monero на 15 тысячах машин, преимущественно серверах под управлением Windows Server.
- Вредоносная программа Linux.MulDrop.14 занимается генерацией криптовалют на незащищенныъ устройствах Raspberry Pi с доступом в Сеть.
- Эксплойт SambaCry использовался для распространения майнера EternalMiner на серверах Linux.
- Майнер Trojan.BtcMine.1259 использовал еще один эксплойт АНБ — DoublePulsar — для заражения компьютеров под Windows.
- Кампания CoinMiner использовала эксплойты EternalBlue и WMI для заражения жертв.
- Ряд серверов Amazon S3 пали жертвой троянца Zminer.
- Группировка CodeFork использовала бесфайловые вредоносы для распространения майнера Monero.
- Группировка Hiking Club распространяла майнеры Monero через набор эксплойтов Neptune Exploit Kit.
- Чит для игры Counter-Strike: Global Offensive заражал пользователей MacOS майнером для Monero.
- Банковский троянец Jimmy обзавелся функциональностью майнера;
Стоит отметить, что помимо вышеперечисленных крупных операций постоянно наблюдается множество менее масштабных предприятий по распространению криптомайнеров, и в целом есть все основания говорить о полновесной эпидемии.
Эксперты сообщили о росте киберпреступлений для майнинга в России
Компания «Лаборатория Касперского (Kaspersky)» выявила летом 2017 года несколько крупных бот-сетей из тысяч зараженных компьютеров для использования при добыче криптовалют — так называемом майнинге.
Эксперты констатировали, что в последнее время увеличилось число киберпреступлений, связанных с майнингом. Хакеры устанавливают специальное вредоносное ПО на компьютеры граждан и организаций, которое без ведома владельцев участвует в добыче виртуальной валюты.
По данным специалистов, чаще всего это происходит через установочные файлы каких-либо других программ, скачиваемых пользователями в интернете, а также через уязвимости в ПО [46] .
Добыча биткоинов на рабочем сервере Федерального резерва США
Сотрудник Федерального резерва США, имеющего монополию на выпуск доллара, был оштрафован за использование рабочего сервера для добычи биткоинов. Николас Бертоум (Nicholas Berthaume), который работал аналитиком по коммуникациям при совете директоров резерва, использовал свой доступ к федеральному компьютеру, чтобы установить на нем нелегальную программу для производства криптовалюты [47] .
Оставаясь незамеченной, программа работала почти два года: с марта 2012 г. по июнь 2014 г. При этом она использовала вычислительные мощности сервера резерва, чтобы проводить, верифицировать и записывать операции с биткоинами. По правилам работы этого ПО, чем больше вычислительной мощности привлекает пользователь, тем большее вознаграждение он получает. За свои действия Бертоум был оштрафован на $5 тыс., а также получил 12 месяцев административного надзора. Сколько биткоинов он успел добыть за время работы ПО, неизвестно.
Кроме того, Служба генерального инспектора США, которая расследует дело, утверждает, что Бертоум модифицировал защиту на серверах резерва, чтобы удаленно управлять работой программы из дома. Услышав обвинения в свой адрес, Бертоум сначала отрицал факт добычи биткоинов, но некоторое время спустя попытался дистанционно удалить ПО с сервера и замести следы его присутствия. Когда это было доказано, злоумышленник сознался в своих действиях и начал сотрудничать со следствием. Несмотря на изменения в защите, утечки информации с сервера резерва не произошло.
Смотрите также Блокчейн и криптовалюта
- Консорциум R3— R3 управляет консорциумом из более чем 60 крупнейших в мире финансовых институтов для разработки прорывных коммерческих приложений для индустрии финансовых услуг, которые используют соответствующие элементы распределенных и общих реестровых технологий.
- IPChain Сеть транзакций прав и объектов интеллектуальной собственности
- Блокчейн–фонд
- Эмеркоин Блокчейн-консорциум (Emercoin Consortium)
https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A1%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%B9_%D0%BC%D0%B0%D0%B9%D0%BD%D0%B8%D0%BD%D0%B3_(%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B4%D0%B6%D0%B5%D0%BA%D0%B8%D0%BD%D0%B3,_cryptojacking)