Kryptokapning är en skadlig aktivitet där en infekterad enhet används för att i hemlighet utvinna kryptovalutor. För att göra detta använder angriparen offrens processorkraft och bandbredd (i de flesta fall görs detta omedvetet eller utan samtycke).
Generellt sett är det skadlig programvara för kryptoutvinning som ansvarar för sådana skadliga aktiviteter och är utformade för att använda tillräckligt med systemresurser för att förbli obemärkt så länge som möjligt.
Eftersom kryptovalutautvinning kräver mycket processorkraft försöker angriparen ta över flera enheter. På detta sätt kan hen samla tillräckligt med datorkraft för att utföra utvinningsaktiviteter till låg risk och kostnad.
Tidigare versioner av skadlig programvara för utvinning var beroende av att offren klickade på skadliga länkar eller e-postbilagor, vilket infekterade deras system med dold kryptoutvinning.
Men mer sofistikerade typer av dessa skadliga program har utvecklats under de senaste åren och tar kryptokapningsmetoden till en helt ny nivå.
För närvarande körs majoriteten av skadlig programvara för utvinning genom skript som implementeras på webbplatser. Detta tillvägagångssätt är känt som webbaserad kryptokapning.
Webbaserad kryptokapning
Webbaserad kryptokapning (även kallad drive-by kryptoutvinning) är den vanligaste formen av skadlig programvara för kryptoutvinning. Vanligtvis utförs denna skadliga aktivitet genom skript som körs på en webbplats, vilket gör att offrets webbläsare automatiskt kan utvinna kryptovalutor under besöket på webbplatsen. Sådana webbaserade miners implementeras i hemlighet på en mängd olika webbplatser, oavsett popularitet eller kategori.
I de flesta fall är Monero kryptovalutan som väljs ut till detta, eftersom dess utvinningsprocess inte kräver enorma mängder resurser och processorkraft som Bitcoin-utvinningen gör. Dessutom ger Monero ökade nivåer av integritet och anonymitet, vilket gör transaktionerna mycket svårare att spåra.
Till skillnad från ransomware är skadlig programvara för kryptoutvinning sällan farlig för datorn och de data som lagras i den. Den mest märkbara effekten av kryptokapning är den reducerade CPU-prestandan (vanligtvis tillsammans med ökat fläktbrus). Men för företag och större organisationer kan den minskade CPU-prestandan hämma dess arbete, vilket kan leda till betydande förluster och missade möjligheter.
CoinHive
Det webbaserade tillvägagångssättet för kryptokapning sågs först i september 2017, då en kryptominer vid namn CoinHive officiellt släpptes för allmänheten. CoinHive består av en JavaScript-kryptominer som påstås ha skapats för ett gott syfte: att låta webbplatsägare tjäna pengar på sitt fritt tillgängliga innehåll utan att förlita sig på opassande annonser.
CoinHive är kompatibel med alla de större webbläsarna och är relativt lätt att konfigurera. Skaparna behåller 30 % av alla kryptovalutor som utvinns genom dess kod. Den använder kryptografiska nycklar för att identifiera vilket användarkonto som ska få de resterande 70 %.
Trots att det ursprungligen presenterades som ett intressant verktyg fick CoinHive massor av kritik på grund av att det nu används av cyberbrottslingar för att injicera den skadliga minern på flera hackade webbplatser (utan ägarens vetskap eller tillstånd).
I de få fall där CoinHive avsiktligt implementeras i gott syfte är ett kryptokapning-JavaScript konfigurerat som en valfri version som heter AutheDMine, vilket är en modifierad version av CoinHive som bara startar utvinningen efter att ha fått besökarens samtycke.
Föga överraskande används AuthedMine inte i samma skala som CoinHive. En snabb sökning på PublicWww visar att minst 6 400 webbplatser kör CoinHive (varav 2 810 är WordPress-sidor). Å andra sidan implementerades AuthedMine av bara cirka 550 webbplatser.
Under första halvåret av 2018 blev CoinHive det största hotet med skadlig programvara som spåras av antivirusprogram och cybersäkerhetsföretag. De senaste rapporterna visar dock att kryptokapning inte längre är det vanligaste hotet, eftersom första- och andraplatserna nu innehas av banktrojaner och ransomware-attacker.
Den snabba ökningen och nedgången för kryptokapning kan vara relaterad till cybersäkerhetsföretagens arbete, eftersom många kryptokapningskoder nu är svartlistade och snabbt upptäcks av de flesta antivirusprogrammen. Dessutom tyder de senaste analyserna på att webbaserad kryptokapning inte är så lönsam som det verkar.
Exempel på kryptokapning
I december 2017 implementerades CoinHive-koden i hemlighet i WiFi-nätverket i flera Starbucks-butiker i Buenos Aires, vilket anmäldes av en kund. Skriptet utvann Monero genom processorkraften från alla enheter som var anslutna till det.
I början av 2018 fann man att CoinHive-minern kördes på YouTube-annonser via Googles DoubleClick-plattform.
Under juli och augusti 2018 infekterade en kryptokapningsattack över 200 000 MikroTik-routrar i Brasilien och injicerade CoinHive-kod i en enorm mängd webbtrafik.
Hur upptäcker och förhindrar jag kryptokapningsattacker?
Om du misstänker att din CPU används mer än normalt och dess kylfläktar låter mer utan någon uppenbar anledning, är risken stor att din enhet används för kryptoutvinning. Det är viktigt att ta reda på om din dator är infekterad eller om kryptokapningen utförs av din webbläsare.
Även om webbaserad kryptokapning är relativt lätt att upptäcka och stoppa, är skadlig programvara för utvinning som riktar sig mot datorsystem och nätverk inte alltid lätt att upptäcka, eftersom den vanligtvis är utformad för att döljas eller maskeras som något äkta.
Det finns webbläsartillägg som effektivt kan förhindra de flesta webbaserade kryptokapningsattackerna. Förutom att de är begränsade till webbaserade miners är dessa motåtgärder vanligtvis baserade på en statisk svartlista, som snabbt kan bli föråldrad när nya kryptokapningsmetoder används. Därför rekommenderas det även att hålla ditt operativsystem uppdaterat, tillsammans med ett uppdaterat antivirusprogram.
När det gäller företag och större organisationer är det viktigt att informera och utbilda de anställda om kryptokapning och nätfisketekniker, såsom skadliga e-postmeddelanden och falska webbplatser.
Sammanfattning
Var uppmärksam på din enhets prestanda och CPU-aktivitet.
Installera webbläsartillägg, till exempel MinerBlock, NoCoin eller Adblocker.
Var försiktig med e-postbilagor och länkar.
Installera ett pålitligt antivirusprogram och håll dina program och operativsystem uppdaterade.
För företag: utbilda dina anställda om kryptokapning och nätfisketekniker.