Скрытый майнинг, известный в англоязычной прессе как «Cryptojacking», представляет собой несанкционированное использование чужого компьютера для добычи криптовалюты. Чаще всего вредоносный код попадает на машину жертвы с помощью фишинговых писем, либо после посещений вредоносных веб-сайтов. Особенность хакерского приёма заключается в его незаметности: вирус никак не выдает себя, а зараженный компьютер всего лишь начинает чуть чаще «тормозить».
Сколько криптовалюты добыто с помощью скрытого майнинга до сих пор остается загадкой, хотя специалисты по безопасности регулярно проводят исследования, позволяющие оценить масштаб проблемы. Например, в ноябре 2017 Adguard сообщил о росте риска заражения вредоносами на 31%. Анализ, проведенный компанией, продемонстрировал: на тот момент в сети присутствовало 33 000 сайтов, содержащих опасный код. Совокупное количество ежемесячных посетителей ресурсов оценивается примерно в миллиард пользователей.
Check Point Software Technologies утверждает, что в феврале 2018 один из наиболее популярных майнеров – Coinhive, был найден на 34 474 сайтов в интернете. Сколько ресурсов было заражено другими видами опасного ПО – остается загадкой.
Россия не осталась в стороне от эпидемии заражений. В январе 2018 аналитики обнаружили бот-сеть Smominru cryptomining, которая заразила более полумиллиона ПК, в основном в России, Индии и на Тайване. Атаке подверглись сервера под управлением Windows, а примерный доход злоумышленников составил более 3,5 миллионов долларов.
Не только злоумышленники представляют угрозу для бизнеса. Часто сами сотрудники организовывают фермы по добыче криптовалюты прямо на рабочем месте. Один из громких случаев произошел в Украине летом 2019 года. Работники «Южноукраинской атомной электростанции» решив получить прибавку к зарплате и создав риск утечки данных, начали добывать «крипту» на компьютерах АЭС.
Популярность скрытого майнинга обусловлена двумя факторами. Во-первых, для успешной атаки не нужны специальные технические знания и навыки. Набор «юного хакера» можно приобрести в даркнете примерно за 30 долларов. Во-вторых – нулевые риски. Отследить криптовалюту, популярную среди хакеров, практически невозможно. Если сравнивать несанкционированный майнинг с другим популярным хакерским инструментом – шифрованием информации с целью выкупа, соотношение «сложность подготовки – предполагаемая выгода», явно не в пользу второго. Ведь пойти на поводу у шантажистов готова, в лучшем случае, одна из десяти компаний. При этом над злоумышленниками всегда висит угроза деанонимизации и уголовного преследования.
Криптомайнинг – это не только угроза для производительности ПК. Установка вредоносного кода сигнализирует о том, что в системе безопасности появилась дыра, через которую уже проникли злоумышленники. И кто знает, чем закончится активность вируса внутри локальной сети.
Например, вредонос PowerGhost, распространявшийся с помощью фишинга, не только «умеет» избегать радаров всевозможных программ защиты и незаметно добывать крипту, его инструментарий гораздо шире. Вирус может украсть коды доступа к учетным записям или отключить антивирус.
MinerGate – не такой опасный, но крайне хитрый представитель семейства криптомайнеров: как только пользователь начинает выполнять какие-либо действия на ПК, программа моментально останавливает добычу и старательно делает вид, что ее не существует. Компьютер не тормозит, незадачливый юзер не замечает подвоха и продолжает верить в отсутствие вирусов.
Наибольший интерес для злоумышленников представляют именно коммерческие организации, с развитой сетевой инфраструктурой. Зачем заражать компьютер частного пользователя, если можно нанести удар сразу по нескольким десяткам, а то и тысячам машин. Это утверждение подтверждает ситуация, произошедшая с одним из европейских банков. Системный администратор обнаружил, что в ночную смену производительность серверов резко снижается. При этом днем ни с компьютерами персонала, ни с серверами никаких проблем не наблюдалось. Анализ трафика и загрузки графических процессоров видеокарт позволил найти и ликвидировать майнер, просочившийся в систему.
Защита от несанкционированного криптомайнинга представляет собой комплекс программных средств.
Первый эшелон – анализ внешнего и внутреннего трафика. Он позволяет своевременно обнаружить подозрительное перемещение данных. Преимущество такого инструмента в том, что он не только находит следы жизнедеятельности ряда специфических вирусов, но и может выявить утечку данных в результате действий инсайдера.
Второй эшелон защиты – анализ поведения персонала. Перемещения по сайтам с сомнительным контентом нередко приводят к заражениям системы. А фишинговые письма – один из основных путей распространения вредоносов. Взяв под контроль действия работников, и своевременно купируя рисковые ситуации, руководитель сможет эффективно противодействовать большинству кибератак.
Последняя линия обороны – анализ загрузки графических процессоров видеокарт. Если вирус пробрался в систему, обнаружить его можно только с помощью круглосуточного контроля производительности машин в режиме реального времени.
