Как скрытый майнинг угрожает вашему бизнесу

Когда мы подводили итоги 2017 года и делали прогноз на следующий год, то предсказывали, что шифровальщики, расцвет которых пришелся на 2017 год, сойдут на нет, а на их место придут новые изощренные киберугрозы — майнеры для добычи криптовалюты. И вот наше последнее исследование показало: майнеры не только «оправдали ожидания», но и вышли на новый уровень.

Так, за последние 6 месяцев киберпреступники заработали с помощью внедрения майнингового ПО более 7 млн долларов. Мы расскажем, как функционируют майнеры на компьютерах пользователей, почему сейчас они стали основной киберугрозой (особенно для бизнеса) и как от них защититься.

В 2017 году, когда курсы биткойна и альткойнов (альтернативных биткойну криптовалют) выросли в сотни раз по сравнению с показателями предыдущих лет, стало очевидно, что владеть токенами (которые можно конвертировать в реальные деньги) необычайно выгодно. Особенно привлекательным выглядит то, что, в отличие от реальных денег, эмиссию цифровой валюты каждый может осуществлять сам, достраивая блокчейн при помощи математических вычислений и получая за это награду (подробно о том, как функционирует блокчейн, можно узнать здесь).

По правилам майнерских пулов, больше токенов получает тот, кто сможет произвести больше вычислений. Единственная проблема, которую приходится решать при добыче криптовают: чем больше вычислений хочешь произвести, тем большие вычислительные мощности приходится задействовать и тем больше дорогого электричества расходовать.

И вот тут киберпреступники, главная цель которых — заработать побольше денег за счет использования интернет-технологий, ухватились за идею майнинга с помощью вычислительных мощностей чужих компьютеров. Так, чтобы один или несколько компьютеров делали нужные вычисления, а их владельцы или администраторы об этом не догадывалась как можно дольше. По понятным причинам киберпреступникам особенно нравится использовать для этих целей крупные корпоративные сети из сотен компьютеров.

И эту идею они все более успешно воплощают в жизнь. К нынешнему моменту атаке «вредоносных майнеров» уже подверглись более 2,7 млн пользователей по всему миру — это более чем в 1,5 раза превышает показатели 2016 года, — и это число продолжает расти. О том, какие технологии злоумышленники для этого используют, мы расскажем далее.

Первый способ несет все признаки технологий, используемых в продолжительных атаках повышенной сложности (APT), которые киберпреступники еще недавно широко применяли для проведения масштабных кампаний с программами-вымогателями. Теперь эти же методы — например, атаки с использованием печально известного эксплойта EternalBlue — используются для распространения скрытых майнеров.

Другой способ установить скрытый майнер на компьютер пользователя — убедить его самого скачать дроппер, который затем закачает майнер. Обычно пользователя заманивают скачать дроппер, замаскировав его под рекламу либо бесплатную версию какого-либо платного продукта, ну или с помощью фишинга.

После скачивания дроппер запускается на компьютере и устанавливает собственно майнер, а также специальную утилиту, которая маскирует майнер в системе. В комплекте с программой могут поставляться сервисы, которые обеспечивают ее автозапуск и настраивают ее работу: например, определяют, какую часть вычислительных мощностей может использовать майнер в зависимости от того, какие еще программы исполняются на компьютере, чтобы не вызывать замедления в работе системы и подозрений пользователя.

Другая функция сервисов — не дать пользователю остановить майнер. Если пользователь его обнаружит и попытается отключить, компьютер просто начнет перезагружаться, а после перезагрузки майнер будет работать дальше. Что интересно, большая часть скрытых майнеров полагается на код обычных, вполне легитимных майнеров, что дополнительно усложняет их обнаружение.

Существует и еще один способ нелегальной добычи токенов: веб-майнинг, или майнинг в браузере. Он становится возможным, если администратор сайта встраивает в него скрипт для майнинга, который начинает выполняться, если жертва заходит на сайт. Впрочем, это же может сделать и злоумышленник, если каким-то образом получит доступ к управлению сайтом. Пока пользователь находится на сайте, его компьютер работает на построение блоков, а тот, кто установил скрипт, получает прибыль.

Благодаря изощренным технологиям атак и сложности обнаружения киберпреступники получили возможность создавать настоящие ботнеты из компьютеров-жертв и использовать их для скрытого майнинга. Само собой, лакомым кусочком для преступников является бизнес-инфраструктура, обладающая большими вычислительными мощностями. Под угрозой могут находиться и устройства вашего предприятия. Поэтому мы рекомендуем принять следующие меры для защиты вашего бизнеса:

• установить защитные решения на все используемые компьютеры и серверы, чтобы не дать злоумышленникам шанса обосноваться внутри вашей инфраструктуры;
• регулярно проводить аудит корпоративной сети для поисков аномалий;
• периодически заглядывать в планировщик задач, который может использоваться злоумышленниками для запуска вредоносных процессов;
• не оставлять без внимания узкоспециализированные устройства вроде табло электронных очередей, POS-терминалов и даже вендинговых аппаратов. Как показывает история с майнером, распространяющимся через эксплойт EternalBlue, все это оборудование тоже потенциально может зарабатывать кому-то криптовалюту, усиленно потребляя электроэнергию;
• использовать на узкоспециализированных устройствах режим запрета по умолчанию (Default Deny) — это позволит защитить их не только от майнеров, но и от многих других угроз. Режим запрета по умолчанию можно настроить при помощи нашего решения Kaspersky Endpoint Security для бизнеса.