Jak działają nielegalne koparki kryptowalut?
Istnieją dwa główne typy nielegalnych koparek kryptowalut:
1. Oparte na plikach binarnych – złośliwe aplikacje pobierane i instalowane na docelowym urządzeniu w celu kopania kryptowalut. Rozwiązania zabezpieczające ESET klasyfikują większość z tych aplikacji jako trojany.
2. Oparte na przeglądarkach – złośliwy JavaScript osadzony w stronie internetowej lub jej częściach/obiektach, zaprojektowany do kopania kryptowalut za pomocą przeglądarek odwiedzających stronę. Metoda ta, zwana cryptojackingiem, stała się coraz bardziej popularna wśród cyberprzestępców od połowy 2017 roku. ESET wykrywa większość skryptów cryptojackingowych jako potencjalnie niechciane aplikacje (PUA).
Ostrzeżenie
Większość nielegalnych koparek kryptowalut stara się kopać Monero lub Ethereum. Te kryptowaluty oferują cyberprzestępcom kilka korzyści w porównaniu do bardziej znanego bitcoina: mają wyższy poziom anonimowości transakcji i, co najważniejsze, można je kopać za pomocą zwykłych procesorów CPU i GPU, a nie drogiego i specjalistycznego sprzętu. Ataki związane z kopaniem kryptowalut i cryptojackingiem zostały wykryte na wszystkich popularnych platformach desktopowych, a także na Androidzie i iOS.
Dlaczego małe i średnie przedsiębiorstwa (SMB) powinny martwić się o nielegalnych koparek kryptowalut?
W badaniach przeprowadzonych wśród 750 menedżerów IT w Wielkiej Brytanii odkryto, że 30% organizacji w tym kraju padło ofiarą ataku cryptojackingowego w poprzednim miesiącu. Statystyki te dokumentują dwie rzeczy:
1. Mimo że nielegalne kopanie kryptowalut wydaje się mniej poważne, organizacje nie powinny lekceważyć ryzyka, które przedstawia. Kopanie zwykle przejmuje dużą część mocy obliczeniowej sprzętu, co zmniejsza wydajność i produktywność. Proces intensywnie wykorzystujący moc obliczeniową powoduje dodatkowy stres dla komponentów sprzętowych i może uszkodzić docelowe urządzenia, skracając ich żywotność.
2. Koparki kryptowalut ujawniają luki w zabezpieczeniach organizacji, co może prowadzić do potencjalnie poważniejszych kompromisów i zakłóceń. Ze względu na ich wyższą i skoncentrowaną wydajność, infrastruktura i sieci biznesowe stanowią bardziej wartościowy cel niż urządzenia konsumenckie, obiecując napastnikowi wyższe zyski w krótszym czasie.
Jak rozpoznać atak polegający na kopaniu kryptowalut?
Kopanie kryptowalut i cryptojacking są zazwyczaj związane z ekstremalnie wysoką aktywnością procesora, co ma zauważalne efekty uboczne. Zwróć uwagę na następujące objawy:
- Widoczne zmniejszenie wydajności i produktywności infrastruktury
- Nietypowe zużycie energii
- Podejrzany ruch sieciowy
Na urządzeniach z systemem Android dodatkowe obciążenie obliczeniowe powoduje:
- Krótszą żywotność baterii
- Zauważalny wzrost temperatury urządzenia
- Niższą wydajność urządzenia
- Uszkodzenia fizyczne związane z „puchnięciem” baterii w najgorszych przypadkach
Jak chronić swoją organizację przed koparkami kryptowalut?
1. Chroń swoje stacje robocze, serwery i inne urządzenia za pomocą wiarygodnych i wielowarstwowych rozwiązań zabezpieczających, zdolnych do wykrywania potencjalnie niechcianych (PUA) skryptów kopania kryptowalut oraz trojanów koparek kryptowalut.
2. Wdrażaj oprogramowanie do wykrywania intruzów (IDS), które pomaga identyfikować podejrzane wzorce sieciowe i komunikację potencjalnie związane z nielegalnym kopaniem kryptowalut (zainfekowane domeny, wychodzące połączenia na typowych portach kopania, takich jak 3333, 4444 lub 8333, oznaki trwałości itp.).
3. Zwiększ widoczność sieci, używając zdalnej konsoli zarządzania do egzekwowania polityki zabezpieczeń, monitorowania stanu systemu oraz zabezpieczeń stacji roboczych i serwerów firmy.
4. Organizuj szkolenia dla wszystkich pracowników (w tym najwyższe kierownictwo i administratorów sieci) w zakresie utrzymywania dobrego cyberhigieny i tworzenia oraz używania silnych haseł, wzmocnionych dwuskładnikowym uwierzytelnianiem, co zwiększa ochronę systemów firmy w przypadku wycieku haseł lub ich brutalnego łamania.
Dodatkowe środki
5. Stosuj zasadę minimalnych uprawnień. Wszyscy użytkownicy powinni mieć jedynie konta użytkowników z jak najmniejszą liczbą uprawnień, które pozwalają im na wykonanie bieżących zadań. Takie podejście znacząco obniża ryzyko, że użytkownicy i administratorzy będą manipulowani do otwierania lub instalowania koparek kryptowalut lub innego złośliwego oprogramowania na urządzeniach podłączonych do sieci firmowej.
6. Używaj kontroli aplikacji, które ograniczają do minimum oprogramowanie dozwolone do uruchomienia, zapobiegając instalacji złośliwego oprogramowania do kopania kryptowalut.
7. Zadbaj o wdrożenie dobrej polityki aktualizacji i łatania, aby znacząco zmniejszyć ryzyko naruszenia bezpieczeństwa organizacji w wyniku wcześniej znanych luk w zabezpieczeniach, ponieważ wielu zaawansowanych koparek kryptowalut wykorzystuje znane exploity, takie jak EternalBlue, w swojej podstawowej dystrybucji..
8. Monitoruj systemy firmy pod kątem nadmiernego zużycia energii lub innych anomalii związanych z zużyciem energii, które mogą wskazywać na niepożądane aktywności koparek kryptowalut.
Zabezpiecz się przed koparkami kryptowalut już teraz
ESET PROTECT
Advanced
Uzyskaj skuteczną ochronę przed koparkami kryptowalut dzięki wielowarstwowym rozwiązaniom zabezpieczającym ESET, zdolnym do wykrywania potencjalnie niechcianych (PUA) skryptów kopania kryptowalut oraz trojanów koparek kryptowalut. Obejmuje to tarczę Ransomware i ochronę LiveGrid® przez chmurę oraz ochronę przed atakami sieciowymi. Połącz potężny silnik skanowania ESET z ESET PROTECT Cloud i uzyskaj szczegółową widoczność sieci.
