Botnety wydobywające kryptowalutę wróciły i infekują tysiące komputerów, generując setki tysięcy dolarów dla cyberprzestępców
Zespół Kaspersky Lab zajmujący się badaniami nad ochroną przed szkodliwym oprogramowaniem zidentyfikował dwie sieci złożone z komputerów zainfekowanych szkodliwym oprogramowaniem (tzw. botnety), które ukradkiem instaluje legalne oprogramowanie typu “miner” wykorzystywane do “kopania” wirtualnych walut w oparciu o technologię łańcucha bloków. W jednym z przypadków badacze zdołali oszacować, że złożona z 4 000 maszyn sieć może przynieść swoim właścicielom dochód sięgający nawet 30 000 dolarów miesięcznie, w innym przypadku zidentyfikowali zarobek wynoszący ponad 200 000 dolarów, który przestępcy uzyskali dzięki botnetowi złożonemu z 5 000 komputerów PC.
Architektura bitcoinów oraz innych kryptowalut zakłada, że oprócz zakupu pieniędzy użytkownik może samodzielnie wygenerować (“wykopać”) nową jednostkę walutową (monetę), wykorzystując moc obliczeniową maszyn, na których zostało zainstalowane wyspecjalizowane oprogramowanie, tzw. koparka. Jednocześnie, zgodnie z koncepcją kryptowalut, im więcej wyprodukowanych pieniędzy, tym więcej czasu i mocy obliczeniowej potrzeba na stworzenie nowej monety. Kilka lat temu szkodliwe oprogramowanie ukradkowo instalujące oprogramowanie do wydobywania bitcoinów (które wykorzystuje komputery ofiar w celu kopania waluty dla cyberprzestępców) stanowiło powszechny element krajobrazu zagrożeń, jednak im więcej bitcoinów zostało już wydobytych, tym trudniej było wykopywać nowe. W pewnym momencie proces ten stał się wręcz bezużyteczny: potencjalny zysk finansowy, jaki przestępca mógł uzyskać z tego rodzaju przedsięwzięcia, nie pokryłby nakładów, jakie należałoby ponieść na przygotowanie i rozprzestrzenianie szkodliwego oprogramowania, jak również niezbędnej infrastruktury.
Jednak cena bitcoina – pierwszej i najbardziej znanej kryptowaluty – która w ciągu kilku ostatnich lat błyskawicznie wzrosła z setek do tysięcy dolarów za jedną monetę, rozpaliła prawdziwą gorączkę kryptowaluty na całym świecie. Setki entuzjastycznych grup i startupów zaczęły wprowadzać własne alternatywy bitcoinów, z których wiele również uzyskało znaczącą wartość rynkową w stosunkowo krótkim czasie.
Te zmiany na rynkach kryptowaluty nieuchronnie zwróciły uwagę cyberprzestępców, którzy wracają do oszustw polegających na ukradkowym instalowaniu oprogramowania do kopania kryptowaluty na tysiącach komputerów.
Wyniki ostatniego badania przeprowadzonego przez ekspertów z Kaspersky Lab sugerują, że przestępcy stojący za niedawno wykrytymi botnetami rozprzestrzeniają oprogramowanie do wydobywania kryptowaluty przy pomocy programów adware, które są dobrowolnie instalowane przez ofiary. Po tym, jak program adware (np. aplikacja lub pasek narzędzi do przeglądarki wyświetlający reklamy) zostanie zainstalowany na komputerze ofiary, automatycznie pobierany jest szkodliwy komponent: instalator koparki kryptowaluty. Poza samym wydobywaniem pieniędzy moduł ten wykonuje pewne działania, aby zapewnić sobie jak najdłuższe działanie, np.:
- próba wyłączenia oprogramowania bezpieczeństwa;
- śledzenie wszystkich uruchomień aplikacji i zawieszanie własnych działań w przypadku uruchomienia programu, który monitoruje działania systemu lub uruchomione procesy;
- dbanie o to, aby kopia oprogramowania do wydobywania kryptowaluty była zawsze obecna na dysku twardym oraz przywracanie jej w przypadku usunięcia.
Wykopane monety są przenoszone do portfeli należących do przestępców, podczas gdy ofiary cierpią w wyniku obniżonej wydajności zainfekowanych komputerów i nieco wyższych niż zwykle rachunków za prąd. Z obserwacji Kaspersky Lab wynika, że cyberprzestępcy zwykle wydobywają dwie kryptowaluty: zcash oraz monero. Waluty te wybierane są prawdopodobnie ze względu na możliwość zapewnienia anonimowości transakcji oraz właścicieli portfeli.
Pierwsze sygnały powrotu szkodliwych programów do wydobywania kryptowaluty zostały zauważone przez Kaspersky Lab już w grudniu 2016 r., gdy badacz z firmy poinformował o co najmniej 1 000 komputerach zainfekowanych szkodliwym oprogramowaniem wydobywającym kryptowalutę Zcash, która została wprowadzona pod koniec października 2016 r. Wtedy – za sprawą szybko rosnącej ceny tej kryptowaluty – botnet był w stanie przynosić swoim właścicielom zysk dochodzący nawet do 6 000 dolarów tygodniowo. Następnie prognozowano pojawienie się nowych botnetów wykorzystywanych do wydobywania kryptowaluty, a wyniki niedawnego badania potwierdzają, że prognozy te były słuszne.
Główny problem ze szkodliwymi koparkami polega na tym, że poprawne wykrycie takiej aktywności jest naprawdę trudne, ponieważ szkodliwe oprogramowania wykorzystuje całkowicie legalne oprogramowanie do wydobywania kryptowaluty, które w normalnej sytuacji mogłoby być celowo zainstalowane przez zwykłego użytkownika. Innym niepokojącym odkryciem poczynionym przez nas podczas obserwowania dwóch nowych botnetów jest to, że szkodliwe programy do wydobywania kryptowaluty zyskują na wartości na nielegalnym rynku. Pojawili się przestępcy oferujący kreatory koparek: oprogramowanie, które umożliwia każdemu, kto jest skłonny zapłacić za pełną wersję, stworzenie własnego botnetu do wydobywania kryptowaluty. To oznacza, że zidentyfikowane niedawno botnety z pewnością nie są ostatnimi – powiedział Jewgienij Łopatin, analityk szkodliwego oprogramowania, Kaspersky Lab.
Ogólnie liczba użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem do wydobywania kryptowaluty, wzrosła znacząco w ostatnich latach. Na przykład w 2013 r. produkty firmy Kaspersky Lab ochroniły około 205 000 użytkowników na całym świecie, którzy stanowili cel tego rodzaju zagrożenia. W 2014 r. liczba ta wzrosła do 701 000, a liczba użytkowników atakowanych w ciągu pierwszych ośmiu miesięcy 2017 r. sięgnęła 1,65 miliona.
Aby nie dopuścić do przekształcenia komputera w pochłaniające prąd zombie, badacze z Kaspersky Lab zalecają użytkownikom przestrzeganie poniższych zasad:
- Nie instaluj na swoim komputerze PC podejrzanego oprogramowania z niezaufanych źródeł.
- Funkcja wykrywania oprogramowania adware może być domyślnie wyłączona w Twoim rozwiązaniu bezpieczeństwa. Dopilnuj, aby zawsze była włączona.
- Wykorzystuj sprawdzone rozwiązanie bezpieczeństwa internetowego w celu ochrony swojego środowiska cyfrowego przed wszystkimi możliwymi zagrożeniami, łącznie ze szkodliwymi koparkami kryptowaluty.
- Jeśli utrzymujesz serwer, zadbaj o to, aby był chroniony przy pomocy rozwiązania bezpieczeństwa, ponieważ maszyny tego typu stanowią lukratywny cel dla przestępców ze względu na wysoką wydajność obliczeniową (w porównaniu z przeciętnym komputerem PC).
Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują nowe szkodliwe koparki kryptowaluty następującymi nazwami RiskTool.Win32.BitCoinMiner.hxao oraz PDM:Trojan.Win32.Generic.
Więcej informacji na temat wykrytych niedawno botnetów służących do wydobywania kryptowaluty znajduje się na stronie http://r.kaspersky.pl/y8a8T.
Więcej informacji na temat technologii łańcucha bloków wykorzystywanej w kryptowalutach znajduje się na oficjalnym blogu Kaspersky Lab – Kaspersky Daily: https://kas.pr/uh2r.