Kryptojacking je škodlivá aktivita, pri ktorej sa infikované zariadenie používa na tajnú ťažbu kryptomien. Aby to bolo možné, útočník využíva výpočtový výkon a šírku pásma obete (vo väčšine prípadov sa to deje bez jej vedomia alebo súhlasu).
Malvér na ťažbu kryptomeny zodpovedný za takéto škodlivé aktivity je vo všeobecnosti navrhnutý tak, aby využíval presne toľko systémových zdrojov, aby zostal bez povšimnutia čo najdlhšie.
Keďže ťažba kryptomien vyžaduje veľké množstvo výpočtového výkonu, útočníci sa pokúšajú preniknúť do viacerých zariadení. Týmto spôsobom sú schopní zhromaždiť dostatok výpočtových zdrojov na vykonávanie ťažby s nízkym rizikom a nákladmi.
Staršie verzie ťažobného malvéru záviseli od toho, že obete klikali na škodlivé odkazy alebo prílohy e-mailov, čím nechtiac infikovali svoj systém skrytým ťažiarom kryptomien.
Za posledných pár rokov sa však vyvinuli sofistikovanejšie typy tohto malvéru, vďaka ktorým sa prístup ku kryptojackingu posunul na úplne novú úroveň.
V súčasnosti prebieha väčšina ťažby malvérom prostredníctvom skriptov implementovaných do webových stránok. Tento prístup je známy ako webový kryptojacking.
Webový kryptojacking
Webový kryptojacking je najbežnejšou formou malvéru na ťaženie kryptomien. Táto škodlivá aktivita sa zvyčajne vykonáva prostredníctvom skriptov spustených na webovej stránke, ktoré umožňujú prehliadaču obete automaticky ťažiť kryptomeny počas celej doby návštevy. Takíto weboví ťažiari sa tajne implementujú na najrôznejších webových stránkach bez ohľadu na ich popularitu alebo kategóriu.
Vo väčšine prípadov je tou ťaženou kryptomenou monero, pretože jej proces ťažby nevyžaduje také obrovské množstvo zdrojov a výpočtového výkonu ako ťažba bitcoinu. Monero navyše poskytuje zvýšenú úroveň ochrany súkromia a anonymity, čo podstatne sťažuje sledovanie transakcií.
Na rozdiel od ransomvéru malvér na kryptoťažbu len zriedka ohrozuje počítač a údaje v ňom uložené. Najvýraznejším účinkom kryptojackingu je znížený výkon procesora (zvyčajne sprevádzaný zvýšením hluku ventilátora). Podnikom a väčším organizáciám však znížený výkon procesora môže brániť v ich práci, čo môže mať za následok značné straty a premárnené príležitosti.
CoinHive
Webový prístup ku kryptojackingu bol prvýkrát zaznamenaný v septembri 2017, keď bol verejne oficiálne uvedený kryptoťažiar s názvom CoinHive. CoinHive sa skladá z JavaScript kryptoťažiara, ktorý bol údajne vytvorený, aby slúžil ušľachtilej veci, a to umožniť vlastníkom webových stránok speňažiť svoj voľne dostupný obsah bez toho, aby sa spoliehali na nevhodné reklamy.
CoinHive je kompatibilný so všetkými hlavnými prehliadačmi a jeho nasadenie je pomerne jednoduché. Tvorcovia si nechávajú 30 % všetkých kryptomien vyťažených prostredníctvom svojho kódu. Využíva kryptografické kľúče na identifikáciu toho, ktorý používateľský účet by mal dostať zostávajúcich 70 %.
Napriek tomu, že Coin Hive bol pôvodne predstavený ako zaujímavý nástroj, zniesla sa naň vlna kritiky kvôli skutočnosti, že ho teraz používajú kybernetickí zločinci na neoprávnené vloženie ťažiara do viacerých napadnutých webových stránok (bez vedomia alebo povolenia vlastníka).
V niekoľkých prípadoch, keď je CoinHive zámerne implementovaný s dobrým úmyslom, je JavaScript na kryptojacking nakonfigurovaný ako opt-in verzia s názvom AuthedMine. Ide o upravenú verziu CoinHive, ktorá začína ťažiť až po získaní súhlasu návštevníka.
Nie je prekvapením, že AuthedMine sa neprijíma v rovnakom rozsahu ako CoinHive. Rýchle vyhľadávanie na PublicWWW ukazuje, že minimálne 6 400 webových stránok používa CoinHive (z toho 2 810 stránok WordPress). Na druhej strane program AuthedMine implementovalo zhruba 550 webových stránok.
Počas prvého polroka 2018 sa CoinHive stal hlavnou malvérovou hrozbou sledovanou antivírusovými programami a spoločnosťami v oblasti kybernetickej bezpečnosti. Posledné správy však naznačujú, že kryptojacking už nie je najrozšírenejšou hrozbou. Prvé a druhé miesto teraz okupujú útoky bankových trójskych koní a ransomvéru.
Rýchly nárast a pokles kryptojackingu môže súvisieť s prácou spoločností v oblasti kybernetickej bezpečnosti, keďže množstvo kódov kryptojackingu je v súčasnosti na čiernej listine a väčšina antivírusových programov ich rýchlo odhalí. Posledné analýzy navyše naznačujú, že webový kryptojacking nie je až taký výnosný, ako sa zdá.
Príklady kryptojackingu
V decembri 2017 bol kód CoinHive v tichosti implementovaný do siete Wi-Fi viacerých obchodov Starbucks v Buenos Aires, ako nahlásil klient. Skript ťažil monero prostredníctvom výpočtového výkonu každého zariadenia, ktoré bolo k nemu pripojené.
Začiatkom roka 2018 sa zistilo, že ťažiar CoinHive beží v reklamách na YouTube prostredníctvom platformy DoubleClick spoločnosti Google.
V priebehu júla a augusta 2018 sa útokom kryptojackingu infikovalo viac ako 200 000 routerov MikroTik v Brazílii. Kód CoinHive bol vložený do obrovského množstva webovej prevádzky.
Ako odhaliť útoky kryptojackingu a zabrániť im?
Ak máte podozrenie, že váš procesor sa používa viac ako normálne a jeho chladiace ventilátory vydávajú hluk bez zjavného dôvodu, je pravdepodobné, že vaše zariadenie sa používa na kryptoťažbu. Je dôležité zistiť, či máte infikovaný počítač alebo či sa na vašom prehliadači vykonáva kryptojacking.
Zatiaľ čo webový kryptojacking je relatívne ľahké odhaliť a zastaviť, odhalenie ťažobného malvéru zameriavajúceho sa na počítačové systémy a siete nie je vždy ľahké. Dôvodom je, že zvyčajne je navrhnutý tak, aby bol skrytý alebo maskovaný ako niečo legitímne.
Existujú rozšírenia prehliadača, ktoré sú schopné účinne zabrániť väčšine útokov webového kryptojackingu. Okrem toho, že tieto protiopatrenia sú obmedzené len na webových ťažiarov, zvyčajne pracujú so statickou čiernou listinou, ktorá sa môže rýchlo stať zastaranou, pretože sa zavádzajú nové prístupy ku kryptojackingu. Preto sa tiež odporúča udržiavať operačný systém spolu s antivírusovým programom aktuálny.
Čo sa týka podnikov a väčších organizácií, je dôležité informovať a vzdelávať zamestnancov o technikách kryptojackingu a phishingu, ako napríklad podvodné e-maily a falošné webové stránky.
Zhrnutie
Venujte pozornosť výkonu svojho zariadenia a aktivite procesora.
Nainštalujte rozšírenia webových prehliadačov, ako napríklad MinerBlock, NoCoin a Adblocker.
Buďte opatrní s prílohami e-mailov a odkazmi.
Nainštalujte si dôveryhodný antivírus a udržujte svoje softvérové aplikácie a operačný systém stále aktuálne.
Pre firmy: poučte svojich zamestnancov o technikách kryptojackingu a phishingu.