mining_bitcoin

Вирусы-вымогатели — уже вчерашний день, сегодня все продвинутые хакеры зарабатывают тем, что майнят криптовалюты на компьютерах пользователей без их ведома. Это стало возможным благодаря комбинации нескольких событий. Три слагаемых успеха: легкий заработок, низкий риск и миллиарды потенциальных целей. Преступники всего мира ликуют и не верят своему счастью. Рассказываем, что привело к такому положению вещей и какими могут быть последствия.

Составляющие идеального преступления

В начале 2017 года группа хакеров опубликовала несколько созданных в АНБ США инструментов для эксплуатации уязвимостей, включая программу EternalBlue, которая предельно упрощает взлом Microsoft Windows.

Параллельно группа криптоактивистов, недовольных недостаточной анонимностью биткоина, разработала криптовалюту Monero, которая гораздо лучше подходит для сокрытия следов незаконных операций — и, как ни странно, действительно нравится преступникам.

Важно также, что все основанные на блокчейне криптовалюты используют системы подтверждения транзакций, опирающиеся на майнеров, которые автоматически получают оплату за свою работу в соответствующей валюте.

Сера, селитра и уголь сошлись в одной точке и образовали порох: хакеры придумали способ зарабатывать, тайно устанавливая на компьютеры ничего не подозревающих людей ПО для майнинга Monero.

Windows-серверы, ноутбуки, Android-устройства, даже представители Интернета вещей — все они могут круглосуточно зарабатывать деньги для преступников.

Пользователь чаще всего не знает, что его взломали, и может заподозрить это только по возросшей загрузке компьютера и увеличившемуся энергопотреблению. В этот раз нет никаких страшных экранов с требованиями выкупа, у вас никто не крадет пароли и номера кредиток — как будто ничего не происходит.

Новая угроза

Хуже всего — именно незаметность этого промысла. Подразделение корпорации Cisco Systems под названием Talos специализируется на кибербезопасности. Его аналитики пишут:

«Это новая модель. Злоумышленникам больше не нужно, чтобы жертва открывала вложение в письмо, и о выкупе за зашифрованную информацию речи тоже не идет — теперь они используют ресурсы зараженных компьютеров для майнинга криптовалюты».

Это направление атаки легко в реализации и очень выгодно — опасное сочетание. Представители команды CrowdStrike пишут:

«Рост покупательной способности и ликвидности приводит к повышению стоимости — а также волатильности — криптовалют. Естественно, там, где возникают деньги, появляются и преступники».

Таким образом, пока разработчики антивирусов выпускали средства для борьбы с вирусами-вымогателями, появилась новая модель заработка. Райан Олсон, директор разведывательной службы Palo Alto Networks, говорит:

«Сегодня и в перспективе компьютер с обычным процессором может быть выгоднее использовать в качестве майнера, а не заражать его вирусом-шантажистом или красть данные».

Ботнеты

Когда хакеры объединяют множество зараженных компьютеров в сеть для некоторой общей задачи, это называется ботнетом — такая система может выполнять DDoS-атаки и другие действия, требующие больших объемов согласованных вычислений.

Но в случае с майнингом компьютеры работают независимо, просто их должно быть много — каждый майнер генерирует относительно небольшую сумму. Команда Talos пишет:

«Мы видели ботнеты, состоящие из миллионов зараженных систем, а значит теоретически они могут зарабатывать более 100 млн долларов в год. После первоначального заражения поддержание системы требует минимальных усилий, и, учитывая, что обнаружить ПО для майнинга очень сложно, это доход надолго».

Существует несколько разных семейств ботнетов, эксплуатирующих разные типы уязвимостей, и один из самых вредоносных называется Smominru. Сандифорд Оливер, исследователь кибербезопасности в Proofpoint, известный под псевдонимом Kafeine, говорит:

«Аналитики Proofpoint отследили огромный ботнет Smominru, который уже заработал для своих операторов миллионы долларов. Учитывая значительную прибыль, доступную операторам ботнета, и его устойчивость, мы ожидаем, что его работа будет продолжаться».

В Smominru используется эксплоит EternalBlue, разработанный в АНБ, — он нацелен на инфраструктуру управления Windows (WMI). Обычно атакующий отправляет фишинговое письмо с прикрепленным файлом Microsoft Word. Когда пользователь запускает файл, запускается макрос, выполняющий скрипт на Visual Basic, который, в свою очередь, запускает скрипт на Microsoft PowerShell, а он загружает и устанавливает исполняемый файл майнера.

Еще один популярный червь, эксплуатирующий уязвимость в WMI, называется WannaMine. Команда CrowdStrike пишет:

«Мы обнаружили, что червь, получивший название WannaMine, устроен довольно сложно. Он никак не выдает свое присутствие, а использование системного ПО, в том числе WMI и PowerShell, затрудняет, если не делает невозможным, его обнаружение существующими антивирусами».

Однако уязвимость в WMI — не единственная. Некоторые исследователи сообщают об атаках через Microsoft SQL Server и Oracle WebLogic, а всего месяц назад появилась атака на Android-устройства, основанная на сканировании открытых открытых отладочных портов.

Прибыль

Общее у всех этих преступлений одно — майнинг анонимной криптовалюты Monero. Оливер продолжает:

«Альтернативные биткоину криптовалюты, так называемые альткоины, в том числе эфир и Monero, продолжают дорожать, и тем самым привлекают к себе внимание преступников, ищущих быстрой прибыли и анонимности транзакций».

Другие криптовалюты тоже используются, но Monero остается фаворитом. Кевин Эпштейн, вице-президент Центра противодействия угрозам Proofpoint, говорит:

«Этот ботнет, добывающий Monero, очень велик — и в основном это серверы на Windows, рассеянные по всему свету. Мы постоянно видим, как преступники внимательно следят за тенденциями и переключаются на наиболее выгодные схемы, а сейчас деньги как раз в криптовалюте».

Оливер подчеркивает:

«В прошлом году мы наблюдали, как отдельные случаи майнинга на компьютерах пользователей быстро распространились, а поскольку биткоин добывать на обычных компьютерах невыгодно, популярность приобрел Monero».

Сочетание простых ботнетов и анонимной криптовалюты привело к взрыву преступности. Команда Talos пишет:

«Майнинг криптовалют — один из самых простых способов заработка для преступников. Обычно для получения прибыли от взломанного компьютера приходилось красть, а затем как-то реализовывать документы, пароли, кошельки, закрытые ключи. Теперь все это не нужно».

Под радаром

Команда Talos пишет, что, в отличие от вирусов-вымогателей, вирусы-майнеры практически незаметны для пользователя, а кроме того, не требуют «ухода», то есть могут работать до бесконечности, продолжая приносить деньги своему хозяину.

Если раньше вирусу приходилось отсылать хакеру все потенциальные ценности с компьютера жертвы, то теперь этого не нужно — злоумышленнику достаточно указать номер анонимного криптовалютного кошелька.

Что же, собственно, крадут у жертв? Команда Talos пишет:

«Атакующие не воруют ничего, кроме вычислительной мощности, и используемые ими программы не предназначены для нанесения какого-либо вреда. Таким образом, теоретически жертва может оставаться частью ботнета сколь угодно долго».

Тем не менее, кое-то они все же крадут: ресурсы процессора и электричество. Команда CrowdStrike пишет:

«Обычно такое заражение воспринимается как безобидное, но майнинг может влиять на бизнес — мы видели, как компании выпадают из дела на несколько дней и даже недель».

В Proofpoint согласны:

«Поскольку большинство компьютеров в таких ботнетах — это серверы под управлением Windows, влияние пониженной производительности на потенциально критическую бизнес-инфраструктуру может быть очень высоким, да и лишняя электроэнергия может обойтись дорого».

Будущее незаконного майнинга

Да, этот тип кибератак незаметен, и поэтому может показаться безобидным, но на самом деле именно в этом и состоит угроза. В отличие от вирусов-вымогателей, где клиенты требуют у антивирусных компаний немедленного решения, здесь распространение вируса идет бесконтрольно. Таким образом, можно ожидать, что это явление вскоре приобретет масштаб эпидемии, более того, в какой-то момент злоумышленники начнут сталкиваться на одних и тех же компьютерах.

В этот момент мы увидим повсеместное снижение вычислительной мощности, поскольку международная компьютерная инфраструктура окажется под бременем нескольких ботнетов, каждый из которых будет зарабатывать деньги своему хозяину.

Возможно, последствия будут настолько пагубными, что программными методами проблему будет не решить, и правительствам придется просто раз и навсегда запретить криптовалюты.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram

СХОЖИЕ СТАТЬИБОЛЬШЕ ОТ АВТОРА