Na czym polega Cryptojacking

Czym jest cryptojacking?

Cryptojacking jest nowym rodzajem ataku komputerowego, w którym zainfekowane urządzenie potajemnie służy do kopania kryptowalut. Co więcej, atakujący wykorzystuje w zwielokrotniony sposób moc obliczeniową zakażonych wirusem ofiar oraz przepustowość ich łącza (w większości przypadków odbywa się to bez świadomości ofiar lub ich zgody) do efektywniejszego kopania kryptowalut. Złośliwe formy oprogramowania przeznaczone do cryptojackingu zazwyczaj zaprojektowane są w taki sposób, aby wykorzystywać zasoby systemu wystarczające do zaspokojenia potrzeb atakującego oraz jednocześnie pozostania niezauważonymi tak długo, jak to tylko możliwe. Ponieważ proces kopania kryptowalut (ang. cryptocurrency mining) wymaga dużej mocy obliczeniowej, atakujący próbują włamać się na wiele urządzeń aby wykorzystać efekt skali. W ten sposób są w stanie zgromadzić wystarczającą ilość zasobów obliczeniowych, aby wykonywać niskokosztową działalność wydobywczą.

Pierwsze wersje wirusów typu cryptojacking opierały się na klikaniu szkodliwych linków lub otwieraniu załączników dołączanych do wiadomości e-mail, przez ofiary w sposób przypadkowy, co wiązało się z zarażeniem ich system ukrytym krypto-minererem. Przestępcy w ciągu ostatnich kilku lat opracowali jednak bardziej wyrafinowane metody ataku, przenosząc ataki typu cryptojacking na zupełnie nowy poziom zaawansowania. Obecnie większość złośliwego oprogramowania służącego do potajemnego kopania kryptowalut jest uruchamiana za pośrednictwem skryptów zaimplementowanych w kodzie źródłowym stron internetowych. Taki wektor ataku jest znany pod nazwą cryptojacking w przeglądarce / sieci (ang. web-based cryptojacking).

Cryptojacking w przeglądarce i w sieci (ang. Web-based cryptojacking)

Web-based cryptojacking (lub drive-by cryptomining) jest najczęściej występującą obecnie formą cryptojackingu. Zazwyczaj złośliwa aktywność inicjowana i wykonywana jest przez skrypty działające w danej witrynie internetowej, co z kolei prowadzi do automatycznego rozpoczęcia procesu kopania kryptowalut przez przeglądarkę ofiary podczas jej wizyty na zarażonej stronie. Skrypty do web-based cryptojackingu są obecnie skrzętnie ukrywane w kodzie źródłowym szerokiej gamy stron internetowych, niezależnie od ich popularności, kategorii czy przeznaczenia.
W większości przypadków przestępcy jako kopaną kryptowalutę wybierają Monero, ponieważ proces jej wydobywania nie wymaga ogromnych zasobów i mocy obliczeniowej, w odróżnieniu do procesu kopania np. Bitcoinów. Ponadto Monero zapewnia wyższy poziom prywatności i anonimowości, co dodatkowo utrudnia śledzenie transakcji ofiarom i/lub organom ścigania.

W przeciwieństwie do Ransomware, kopanie kryptowalut przez złośliwe oprogramowanie rzadko zagraża komputerowi i przechowywanym na nim danych. Najbardziej zauważalnym efektem ubocznym zarażenia wirusem typu cryptominer jest obniżona wydajności procesora (zwykle towarzyszy temu przyspieszona praca wentylatora/chłodzenia). Jednak w przypadku firm i większych organizacji ograniczona wydajność procesora może utrudnić ich pracę, potencjalnie powodując znaczne straty i/lub utracone szanse.

CoinHive

Jedno z najbardziej popularnych dzisiaj rozwiązań polegających na kopaniu kryptowalut za pomocą przeglądarki powstało we wrześniu 2017 roku. Wtedy światu zaprezentowane zostało CoinHive. CoinHive składa się z kodu służącego do kopania kryptowalut napisanego w języku JavaScript, który rzekomo został stworzony, by służyć szlachetnej sprawie: umożliwić właścicielom witryn internetowych zarabianie na ich swobodnie dostępnych treściach bez polegania na nieprzyjemnych dla użytkowników reklamach.

CoinHive jest kompatybilne ze wszystkimi najpopularniejszymi przeglądarkami internetowymi i jest stosunkowo łatwe do wdrożenia. Twórcy rozwiązania pobierają 30% wszystkich kryptowalut wydobytych za pośrednictwem ich kodu na stronach wykorzystujących ich rozwiązanie. W celu wskazania odbiorcy pozostałej części - 70% - CoinHive wykorzystuje klucze kryptograficzne.

Pomimo początkowego przedstawiania CoinHive jako interesującego narzędzia, skrypt obecnie jest krytykowany m.in ze względu na fakt, iż jest on wykorzystywany przez cyberprzestępców do ataków typu web-based cryptojacking na zhackowanych stronach internetowych (a więc wdrażany bez wiedzy i pozwolenia ich prawowitych właścicieli).

Poza nielicznymi przypadkami, w których CoinHive jest celowo wdrażane, a jego obecność na stronie ma służyć dobrej sprawie, społeczność kryptowalut przygotowała alternatywę o nazwie AuthedMine, która jest zmodyfikowaną wersją CoinHive, a która rozpoczyna wydobywanie kryptowalut dopiero po uzyskaniu zgody wizytującego stronę.

Nie powinno to być niczym zaskakującym, że AuthedMine nie jest wykorzystywane w tej samej skali, co CoinHive. Szybkie spojrzenie na statystyki dostępne na stronie PublicWWW pokazuje, że co najmniej 14900 witryn internetowych korzysta obecnie ze skryptu CoinHive (z czego 5700 to witryny oparte o CMS WordPress). Z drugiej strony AuthedMine został zaimplementowany na zaledwie około 1250 stronach.

W pierwszej połowie 2018 roku CoinHive stał się największym zagrożeniem ze strony szkodliwego oprogramowania według programów antywirusowów i firm zajmujących się bezpieczeństwem w sieci internet. Według ostatnich doniesień jednak okazuje się, że cryptojacking nie jest już najbardziej popularnym zagrożeniem, ponieważ pierwszą i drugą pozycję na liście najpopularniejszych metod stosowanych przez cyberprzestępców zajmują trojany bankowe i ataki typu Ransomware.

Szybki wzrost i spadek popularności cryptojackingu może być związany z prężnymi działaniami zapobiegawczymi podejmowanymi przez firmy zajmujące się bezpieczeństwem cybernetycznym, ponieważ wiele skryptów służących do cryptojackingu znajduje się obecnie na czarnych listach programów antywirusowych, wtyczkach zwiększających bezpieczeństwo przeglądarek, nowe skryptoly są szybko wykrywane przez większość programów antywirusowych. Co więcej, ostatnie analizy sugerują, że cryptojacking w przeglądarce nie jest tak opłacalny, jak mogło by się wydawać.

Przykłady Cryptojackingu

W grudniu 2017 r. Kod CoinHive został sekretnie zaimplementowany w sieci Wi-Fi wielu kawiarni sieci Starbucks w Buenos Aires, o czym poinformował sfrustrowany klient. Skrypt wydobywał kryptowalutę Monero wykorzystując do tego moc dowolnego urządzenia, które było połączone z siecią Wi-Fi kawiarni.

Na początku 2018 r. Internauci odkryli, że CoinHive został uruchomiony w reklamach YouTube za pośrednictwem platformy Google DoubleClick.

W lipcu i sierpniu 2018 r. Jeden z ataków cryptojackingu skutkował infekcją ponad 200 000 routerów firmy MikroTik w Brazylii, wstrzykując kod CoinHive w ogromną część lokalnego ruchu sieciowego.

Jak wykrywać i zapobiegać atakom typu Cryptojacking?

Jeśli zauważyłeś, że twój procesor jest używany częściej niż normalnie, a co za tym idzie jego chłodzenie (czyt. wentylatory) hałasują bez wyraźnego powodu - obciążenia - prawdopodobnie Twoje urządzenie jest używane do kopania kryptowalut. W takiej sytuacji ważne jest, aby najpierw sprawdzić, czy komputer rzeczywiście został zainfekowany oraz czy kopanie kryptowalut odbywa się za pośrednictwem przeglądarki. Chociaż kopanie kryptowalut w przeglądarce jest stosunkowo łatwe do wykrycia i zatrzymania, oprogramowanie do kopania w formie aplikacji, które atakują systemy i sieci komputerowe, nie zawsze jest łatwe do wykrycia, ponieważ zwykle są one bardzo dobrze ukryte lub podszywają się pod prawdziwe zasoby.

Istnieją rozszerzenia do przeglądarek internetowych, które są w stanie skutecznie zapobiegać większości atakom cryptojackingu. Wtyczki te jednak zwykle oparte na statycznej czarnej liście, która może szybko stracić na aktualności, szczególnie w świecie globalnego Internetu. Dlatego zalecamy również dbanie o aktualność systemu operacyjnego oraz posiadanie zaktualizowanego oprogramowania antywirusowego.

W przypadku firm i większych organizacji ważne jest aby podejmować działania informacyjne i edukacyjne o technikach wykorzystywanych przez przestępców do kopania kryptowalut i phishingu, prezentując przykłady takich ataków jak np. Fałszywe wiadomości e-mail czy strony internetowe.

Podsumowując:

Zwracaj uwagę na wydajność swojego urządzenia i aktywność procesora;
Zainstaluj rozszerzenie do przeglądarki internetowej, takie jak MinerBlock, NoCoin czy Adblocker;
Obchodź się z należytą rozwagą i dystansem z załącznikami i linkami w wiadomościach e-mail.
Zainstaluj wiarygodny i polecany program antywirusowy oraz dbaj o częste aktualizowanie aplikacji i systemu operacyjny;
W przypadku firm: edukuj swoich pracowników i edukuj ich na temat możliwych wektorów ataku