Compania Symantec a publicat un raport cu privire la reactivarea unei metode de cryptojacking ce afectează în special rețelele de computere ale firmelor. Aparent, software-ul denumit EternalBlue s-a dezvoltat extrem de rapid în țările asiatice precum China Japonia, Coreea de Sud și Filipine.
Campania Beapy a apărut în ianuarie 2019 și pare să fie dedicată rețelelor de computere ale companiilor.
EternalBlue, virus dezvoltat de autoritățile din SUA
Aparent, EternalBlue a fost creat de Agenția Națională de Securitate (NSA) din Statele Unite și a fost publicat de un grup de hackeri în aprilie 2017.
Software-ul folosit pentru cryptojacking este descris drept un ”worm” și se infiltrează in sisteme prin intermediul fișierelor corpute atașate la e-mail. Utilizatorii deschid un fișier excel infectat care apoi creează un punct de acces în sistemul de operare. De acolo, se extinde la celalate computere din rețea și le folosește în procesul de ”file-mining”. Procesul afectează major performanța echipamentelor, provocând degradarea rapidă a acestora din cauza consumului excesiv.
China a devenit principala țintă a acestui atac, cu o proporție de 83% din toate infecțiile. Alte țări afectate includ Japonia, Vietnam, Coreea de Sud, Hong Kong, Taiwan, Bangladesh și Filipine.
Campania Beapy a afectat de asemenea într-o măsură mai mică și Jamaica și Japonia.
Coinhive nu mai e profitabil
Majoritatea campaniilor de cryptojacking identificate în ultimii ani au utilizat mineri bazați pe browser. Acești virusi au utilizat în mare măsură protocolul Coinhive, o aplicație non-malware care minează Monero.
„Lansarea Coinhive – cu scripturile sale gata făcute – a facilitat apariția campaniilor de cryptojacking deoarece nu necesită cunoștințe tehnice extraordinare”,
a explicat raportul Symantec.
În martie 2019, operațiunile Coinhive au fost închise, în parte din cauza deprecierii Monero din ultimul an.
Aparent, minarea în browser nu este la fel de eficientă comparativ cu ”file-mining”. Symantec apreciază că randamentul mediu de 30 de zile pentru Coinhive este de aproximativ 30.000 de dolari.
Prin comparație, campania Beapy ce foloște file-mining și același număr de boți are un randament de 750.000$ pe lună.
Protecția împotriva minării în browser lansează noi trenduri
Fenomenul Coinhive a generat o campanie de constientizare a utilizatorilor cu privire la cryptojacking. Majoritatea site-urilor au început să implementeze protecții împotriva minării în browser și au fost lansate de asemenea multe extensii ce blochează aceste programe.
Din acest motiv, hackerii sunt forțați să identifice metode alternative de infecție. EternalBlue are avantajul că este foarte greu de detectat. În general, simptomele includ un consum foarte ridicat de CPU, supraîncălzirea dispozitivelor și consumul excesiv de baterie.
Metode de protecție împotriva file-mining
Symantec listează și metodele de protecție împotriva acestei metode de cryptojacking. Pe partea hardware și software, companiile pot utiliza soluții de securitate precum firewall-uri și evaluări ale vulnerabilității, parole robuste și autentificarea multi-factor.
În ce privește angajații, educația este esențială. Aceștia trebuie să monitorizeze consumul dispozitivelor și a utilizării puterii de procesare.
„Dincolo de faptul că angajații beneficiază de o pregătire periodică pentru a recunoaște și raporta e-mailurile de phishing folosite pentru a furniza programe malware, companiile ar trebui să implementeze sisteme defensive suprapuse și susținute reciproc pentru a preveni eșecurile unice în orice tehnologie specifică sau metodă de protecție. Aceasta include implementarea tehnologiilor de protecție a e-mail-ului, a e-mail-urilor și a gateway-urilor web, precum și a soluțiilor de protecție a firewall-urilor și a vulnerabilităților. De asemenea, este crucial să păstrați aceste soluții de securitate la zi cu cele mai recente protecții și să vă asigurați că sistemele sunt protejate împotriva exploatărilor precum EternalBlue.”
explică raportul Symantec.