Черные майнеры не дремлют
Каждая четвертая организация в России подверглась атакам с использованием вредоносного ПО для майнинга криптовалюты в течение 2017 г. Об этом сообщила компания Check Point Software Technologies. Эта цифра оказалась выше, чем среднее количество атак криптомайнеров на компании во всем мире.
Согласно результатам исследования Check Point Software Technologies за второе полугодие 2017 г., от незаконного майнинга криптовалюты пострадала каждая пятая компания в мире.
Причем в России этот показатель выше. Технический директор Check Point Software Technologies Никита Дуров сообщил, что 26% организаций в России подверглись подобным атакам в прошлом году. Специалист Check Point заметил, что тенденция использования зловредов для майнинга достигла пика в декабре 2017 г. Кроме того, она сохранялась и в январе текущего года.
"Во второй половине 2017 г. мир штурмовали криптомайнеры - они стали самым популярным способом получения прибыли от взломов. Это не новый вид атак, но растущая популярность и стоимость криптовалют в значительной степени способствуют более широкому распространению криптомайнеров", - отметила менеджер группы по сбору данных об угрозах Check Point Software Technologies Майя Хоровитц.
Киберпреступники получают доступ к ресурсам центрального процессора (ЦП) или видеокарты на ПК жертвы и используют их для добычи криптовалют. Уровень потребления может достигать 65% мощности ЦП.
Эксперты Check Point выяснили, что в топе вредоносного ПО значится программа-криптомайнер Coinhive. Хотя зловред Coinhive появился только в сентябре 2017 г., он уже успел заразить 12% организаций по всему миру. Эта программа позволяет майнить криптовалюты Monero без ведома пользователя при посещении определенных сайтов.
Исследователи составили отчет на базе данных, полученных из Check Point ThreatCloud, кооперативной сети, в которую поступают данные об угрозах и трендах атак из глобальной сети сенсоров угроз. База данных ThreatCloud содержит более 250 млн адресов, проанализированных для обнаружения ботов, более 11 млн сигнатур вредоносных программ и более 5,5 млн зараженных сайтов и ежедневно идентифицирует миллионы вредоносных программ.
Антивирусный эксперт "Лаборатории Касперского" Алексей Маланов заметил, что около 6% всех атак, отбиваемых продуктами компании, являются скрытыми майнерами. Например, в течение прошлого года 29,4% компьютеров интернет-пользователей в мире хотя бы один раз подверглись веб-атаке класса Malware.
Если говорить про традиционные майнеры, которые заражают компьютер жертвы, то в 2017 г. специалисты "Лаборатории Касперского" отбили 2,4 млн таких атак, 1,1 млн из них приходятся на Россию.
Как заметил специалист "Лаборатории Касперского", во втором полугодии 2017 г. резко возросла популярность веб-майнинга. Заражения ПК при этом не происходит, поскольку майнинг прекращается, когда пользователь закрывает браузер.
Алексей Маланов сообщил, что не во всех случаях веб-майнинг осуществляется скрытно от пользователей. Иногда веб-мастер честно предупреждает, что вместо рекламы использует такой способ монетизации ресурса.
Как заметил антивирусный эксперт "Лаборатории Касперского", компании страдают от криптомайнинга в трех проявлениях. Сюда он отнес заражение извне и установку майнеров, запуск майнеров сотрудниками на компьютерах организации, использование электричества и помещений компании для размещения собственного майнингового оборудования.
Первый тип (заражение извне) не столь популярен. Специалистам "Лаборатории Касперского" известны лишь единичные случаи. Куда большей популярностью у злоумышленников пользуется другой способ - шифрование компьютеров компании и требование выкупа. Это приносит большой разовый доход, а не маленький длительный в случае майнинга.
Второй тип (запуск майнеров сотрудниками), по предположению экспертов "Лаборатории Касперского", популярен. Он считается внутренним инцидентом компании, и, как правило, о нем умалчивают. "Майнеров запускают либо рядовые сотрудники на своих компьютерах, они выявляются сетевыми администраторами, либо сами администраторы - на серверном оборудовании и компьютерах других сотрудников, и тогда выявить их сможет только служба безопасности. Такая служба безопасности есть только в крупных компаниях или финансовых учреждениях. Как результат, многие компании попросту не знают, что переплачивают за электричество", - рассказал Алексей Маланов.
Третий тип (использование помещений и электричества) популярен на производстве. "Сотрудник устанавливает принесенное оборудование в производственных или подсобных помещениях, использует электроэнергию. Выявляются такие случаи охраной и электриками", - сообщил Алексей Маланов.
Другая компания, занимающаяся информационной безопасностью, "Атак Киллер" (входит в ГК InfoWatch) обнаруживала у нескольких клиентов установленные злоумышленниками майнеры. По словам генерального директора "Атак Киллера" Рустэма Хайретдинова, это относительно новый способ монетизации взломов, однако не самый популярный или быстрорастущий.
Рустэм Хайретдинов рассказал, что майнеры не специализируются на отраслях, они ищут высокопроизводительные, но при этом малозащищенные ресурсы. "Те организации, для которых ИТ-системы являются бизнес-образующими - интернет-порталы, онлайн-банки, компании электронной коммерции, телекоммуникационные компании, - и они уделяют повышенное внимание защите своих информационных ресурсов, являются крепким орешком для желающих помайнить", - пояснил он.
Специалист "Атак Киллера" отмечает, что в зоне риска находятся компании, для которых ИТ - достаточно важная составляющая бизнеса, чтобы тратиться на вычислительные ресурсы, но при этом не основная. Сюда он отнес классические банки, государственные организации, транспортные, энергетические, производственные и логистические компании. "У них есть довольно мощные вычислительные ресурсы для управления производством, но при этом ресурсы не защищаются так, как это делают те, для кого ИТ - основа бизнеса", - пояснил он.
Как сообщил Алексей Маланов из "Лаборатории Касперского", заражению майнерами извне и запуску майнеров самими сотрудниками подвержены любые компании с большим количеством офисных компьютеров, независимо от отрасли. "Скрытому размещению майнингового оборудования подвержены любые производственные компании с неиспользуемыми помещениями. Страдают отрасли, активно потребляющие электричество, потому что на фоне большого потребления менее заметно его нецелевое использование", - заметил он.
Специалисты "Лаборатории Касперского" ожидают, что в этом году скрытый майнинг будет распространен не меньше, чем в прошлом. "Такой вид киберпреступлений не очень жестко наказывается законодательно - сотрудника ожидает максимум увольнение. Вероятно, РФ не будет выделяться на общемировом фоне. Масштаб оценить сложно, однако пока проблема далеко не на первом месте среди угроз. Дело в том, что ущерб компании менее значительный, чем, например, от заражений вредоносным ПО других типов", - считает Алексей Маланов.
Глава представительства Avast в России Алексей Федоров ожидает, что кибермошенники продолжат распространять вредоносное ПО для майнинга криптовалюты и взламывать криптовалютные биржи. "Самая опасная вредоносная активность в отношении криптовалюты, которую мы увидим в гораздо большем объеме в 2018 г., - это фишинг. Киберпреступники могут создавать псевдобиржи, фейковую криптовалюту, чтобы обманным путем завладевать средствами пользователей. Эти виды мошенничества будут только развиваться", - заметил он.
Руководитель отдела технического сопровождения продуктов и сервисов Eset Russia Сергей Кузнецов заметил, что чаще всего атакующие пытаются устанавливать программы-майнеры на компьютеры жертв (так называемые нативные майнеры), используя социальную инженерию или уязвимости ПО.
Сергей Кузнецов привел в пример действия кибергруппы, заражавшей веб-серверы майнером криптовалюты Monero. Они использовали для этого уязвимость в Microsoft IIS 6.0 CVE-2017-7269. С мая 2017 г. операторы собрали ботнет из нескольких сотен зараженных серверов и намайнили порядка $63 тыс. Еще один из нативных майнеров - Win32/CoinMiner, по классификации Eset, демонстрирует стабильно высокую активность на протяжении нескольких лет.
Кибермошенники также часто используют веб-майнинг. Сергей Кузнецов пояснил, что добыча криптовалюты автоматически стартует в браузере, когда пользователь заходит на определенный сайт. Один из браузерных майнеров, исследованный Eset, JS/CoinMiner.A, преобладает в России (65,29% срабатываний антивирусных решений), на Украине (21,95%) и в Белоруссии (6,49%).
Сергей Кузнецов из Eset считает, что подобные атаки больше всего затрагивают интернет-провайдеров, хостеров или компании, предоставляющие услуги IaaS. Их ресурсы доступны многим пользователям, что повышает риск атаки.
Основной мишенью, по словам Алексея Федорова из Avast, будут компьютеры, поскольку для добычи цифровых денег требуются значительные вычислительные мощности, а возможности мобильных устройств ограничены объемом батареи и производительностью. Одной из тенденций специалист Avast назвал майнинг в браузере, который расширяет зону поражения до смартфонов, Smart TV и других умных устройств.
Подводя итоги года по направлению защиты проектов, связанных с криптовалютами, в Group-IB составили рейтинг наиболее опасных угроз для индустрии. Сюда относятся фишинг, дефейс (deface - подмена сайта), атаки с "социальным вектором" (атаки на членов команд проектов и воровство монет у представителей комьюнити через социальные сети, тематические форумы и медиаресурсы).
Никита Дуров отметил, что в процессе майнинга криптовалюты необходим постоянный обмен информацией по Интернету с сервером управления C&C и серверами транзакций системы криптовалют. Поэтому современные системы безопасности легко детектируют вредоносные программы, которые скрытно используют ресурсы компьютеров, серверов или смартфонов.
Никита Дуров считает, что в системы обнаружения вторжений и современные межсетевые экраны встроены механизмы обнаружения сетевого трафика как на уровне сетевого протокола, так и по репутации IP-адреса. Также системы безопасности на рабочей станции могут обнаружить и заблокировать активность вредоносного ПО, так как механизмы и алгоритмы заражения используют те же уязвимости в операционной системе и приложениях.
Рустэм Хайретдинов уверен, что нужно защищаться не от майнинга, а от атак, которые позволяют получить контроль над ресурсом. "В защите нет "серебряной пули", а есть рутинная ежедневная работа по изучению защищаемого объекта и постоянной адаптации системы защиты к изменениям объекта, которую сегодня уже можно поручить искусственному интеллекту. Хорошо защищены те ИТ-системы, которые с самого начала проектируются с учетом требований безопасности, регулярно проверяются на уязвимости и используют для защиты современные средства информационной безопасности", - пояснил он.
Сергей Кузнецов порекомендовал соблюдать базовые меры предосторожности: своевременно обновлять операционные системы и другое ПО, а также использовать современные комплексные антивирусные продукты.
Компаниям следует использовать качественную антивирусную защиту, советуют в "Лаборатории Касперского", которая успешно пресекает попытки скрытого майнинга. При этом очень важно, чтобы сетевой администратор, в ответственности которого находится защита, был в ней заинтересован и не был бы сам причастен к скрытому майнингу. Кроме того, на производстве важно производить мониторинг энергопотребления и регулярно совершать обходы помещений.