A zsarolóvírusok elhalványultak, helyette a bányászó programok vannak most előtérben. A Kaspersky Lab kutatói szerint a kiberbűnözők a célzott támadások során használt módszereket és technikákat vettek át, hogy bányászó programokkal fertőzzék a szervezetek asztali számítógépeit.
A Kaspersky Lab által megfigyelt legsikeresebb bűnöző csoport mindössze hat hónap alatt közel 2 milliárd forintnak megfelelő dollárt keresett tavaly ezzel a módszerrel.
Habár a kriptovaluták piaca alapvetően változékony, de a tavaly tapasztalt hatalmas áringadozás a Bitcoin kapcsán nemcsak a globális gazdaságot, de még a kiberbiztonsági világot is megváltoztatta. A kiberbűnözők egyre gyakrabban használnak bányászó szoftvereket támadásaik során azzal a céllal, hogy kriptovalutához jussanak, amely hasonlóan a zsarolóvírusokhoz egy egyszerű bevételszerzési modell. Ugyanakkor a zsarolóvírusokkal ellentétben ez a módszer nem ártalmas az áldozatokra és tovább is marad észrevétlen, miközben a számítógép erőforrásait használja ki. Tavaly szeptemberben a Kaspersky Lab a bányászó programok elterjedését figyelte meg és további fejlődéseket jósolt világszerte. A legújabb kutatások szerint ez a fejlődés nemcsak folytatódott, hanem kiterjedt és megerősödött.
Nemrég a Kaspersky Lab kutatói azonosítottak egy olyan kiberbűnözői csoportot, akik APT-technikákat használnak azért. hogy bányászó programokkal fertőzzék áldozataikat. A process-hollowing módszert alkalmazták, amelyet malware és célzott támadások során használtak mindeddig, de bányászó támadások folyamán még soha. A process hollowing módszer lényege, hogy a hekker egy a memóriában futó biztonságos folyamat képét írja felül a kártékony kóddal. Így az eredeti, biztonságosnak hitt folyamat helyett a veszélyes kód futhat a rendszeren anélkül, hogy a hagyományos folyamatfigyelő eszközök és vírusirtók észlelnék a megtévesztést.
A támadás a következőképp működik: az áldozatot ráveszik, hogy letöltsön és telepítsen egy reklám szoftvert, amelyben elrejtették a bányászó programot. A telepítő letölt egy legális Windows-os segédprogramot, amelynek fő célja, hogy egy távoli szerverről elérje a bányászó programot, amely önmagát telepíti. Kicsomagolás után egy legális rendszerfolyamat indul el és a legitim működési kód átváltozik kártékonnyá. Ennek eredményeként a bányászó szoftver a jogszerű folyamatok egyikeként dolgozik és így a felhasználó nem is észleli annak romboló működését. A kiberbiztonsági szakembereknek is kihívás a kibercsapda észlelése. Továbbá ez a bányászó program egy új eljárás révén megakadályozza bármely feladatának törlését. Ha a felhasználó megpróbál leállítani egy folyamatot, a számítógép rendszere újraindítja magát. Következésképp a bűnözőknek lehetőségük van hosszabb és produktívabb időt eltölteni a megtámadott rendszeren.
A Kaspersky Lab megfigyelései alapján kiderült, hogy a tavalyi év második felében ezzel a módszerrel közel 2 milliárd forint értékű Electroneum valutát bányásztak, amely nagyjából hasonló összeg, mint amit a zsarolóvírus fejlesztők keresni szoktak.
„Azt látjuk, hogy a zsarolóvírusok elhalványultak, helyette a bányászó programok vannak most előtérben. Ezt megerősítik a statisztikáink, amely folyamatos növekedést mutatott a bányászó programok használatában, miként azt is, hogy a kiberbűnözői csoportok aktívan fejlesztik módszereiket, például láthatjuk, hogy egyre kifinomultabb technológiákat használnak a bányászó szoftverek terjesztésére. Már láttunk ehhez hasonló rohamos fejlődést – a zsarolóvírus fejlesztők hasonló trükköket alkalmaztak, amikor elterjedtek.” – magyarázta Anton Ivanov, a Kaspersky Lab vezető malware elemzője.
Összeségében a Kaspersky Lab adatai alapján tavaly 2,7 millió felhasználót támadtak meg bányászó programmal. Ez körülbelül 50%-os emelkedés a 2016-os évhez képest, amikor 1,87 millió felhasználót érintett ilyen támadás. Az áldozatok zömét reklámokkal, feltört játékokkal, és kalóz-szoftverek segítségével fertőzték meg titokban. Más áldozatokat egy fertőzött weboldalon található speciális kódon keresztül fertőztek. A leggyakrabban használt internetes bányász a CoinHive, amelynek működését számos népszerű honlapon észlelték.
Kártékony kriptovaluta bányász programmal megtámadott felhasználók száma, 2017
Azért, hogy védett maradjon, a Kaspersky Lab az alábbiakat javasolja:
- Ne kattintson ismeretlen honlapra, gyanús hirdetésekre és reklámokra.
- Ne nyisson meg és töltsön le nem megbízható forrásból származó ismeretlen fájlt.
- Telepítsen eredményes és megbízható biztonsági megoldást, például a Kaspersky Internet Security-t vagy a Kaspersky Free-t, amely észleli és blokkolja a kibercsapdákat, köztük a bányászó szoftvereket.
A szervezetek számára az alábbiakat javasolja a Kaspersky Lab:
- Végezzenek rendszeresen biztonsági ellenőrzést.
- Telepítsen hatékony és megbízható biztonsági megoldást minden munkaállomásra, például a Kaspersky Endpoint Security for Business programot.
Bővebb információt a bányászó programok tevékenységéről ezen a linken olvashat.