Piratai dabar naudoja JAV nacionalinio saugumo agentūros (NSA) sukurtą programinę įrangą, kad neteisėtai išgautų kriptovaliutas. Remiantis neseniai paskelbta ataskaita pateikė kibernetinių grėsmių aljansas (CTA), kurį sudarė kibernetinio saugumo ekspertų kolektyvas iš „McAfee“, „Cisco Talos“, „NTT Security“, „Rapid7“ ir „Sophos“, be kita ko, kripto kasybos kenkėjiškų programų aptikimas per pastaruosius pusantrų metų išaugo daugiau nei 400 proc..

Kenkėjiški veikėjai, be kita ko, užgrobia kompiuterio procesoriaus išteklius per interneto tinklo infrastruktūros įsilaužimus ir kompiuterių įsilaužimus. Viena iš nerimą keliančių tendencijų yra NSA išnaudojimas, kurį praėjusių metų pradžioje paviešino „Shadow Brokers“, pavadintas „EternalBlue“..

Netrukus po to, kai buvo išleistas šaltinio kodas, kibernetiniai nusikaltėliai naudojo šį įrankį, norėdami pradėti niokojančią išpirkos išpuolių programą, pavadintą „WannaCry“, dėl kurios daugiau kaip 100 000 kompiuterių buvo užkrėsti daugiau nei 100 šalių. Didžiosios Britanijos nacionalinė sveikatos tarnyba (NHS) buvo viena iš atakos objektų ir dėl to išjungė tinklą.

Remiantis naujomis ataskaitomis, tas pats išnaudojimas naudojamas kriptografinės kasybos galiai panaudoti naudojant kenkėjiškas programas WannaMine. Užkrėsti kompiuteriai gali sulėtėti arba gali kilti aparatinės įrangos perkaitimo problemų. Tačiau kai kurie išpuoliai yra sudėtingesni. Jie stebi pelės ar procesoriaus naudojimą ir automatiškai pristabdo operacijas, kai apdorojimo galia viršija tam tikrą ribą.

Ši savybė apsunkina jų aptikimą, leidžiant jiems išlikti ir galiausiai sukurti didesnę grąžą kibernetiniams nusikaltėliams. Paprastai kenkėjiškų programų „EternalBlue“ užkratas sunku nustatyti dėl jų gebėjimo dirbti neatsisiunčiant antrinių programų failų.

„Wannacry“ kenkėjiška programa buvo pagrįsta „Eternalblue“ išnaudojimu.

Dėl kenkėjiškos programos „WannaCry“ daugiau nei 100 šalių buvo užkrėsta daugiau nei 200 000 kompiuterių. (Vaizdo kreditas: Vikipedija).

Kaip veikia kenkėjiška programa „WannaMine Crypto Mining“

„WannaMine“ yra žinomiausia „EternalBlue“ pagrindu sukurta kripto kasybos kenkėjiška programa. Nustatyta, kad jis plinta įvairiomis priemonėmis. Vienas iš jų yra tai, kad interneto vartotojai atsisiųsdami padirbtą programinę įrangą iš neoficialių šaltinių, el. Pašto priedų ir siūlydami klaidinančius programinės įrangos atnaujinimo raginimus.

Savo veikloje jis remiasi „Windows“ valdymo įrankiais ir maskuojasi teisėtų procesų viduje. Taigi jis neveikia „Android“ ar „iOS“ įrenginiuose. Tačiau tai leidžia įsilaužėliui atsisiųsti ir įkelti failus į kompiuterį, išvardyti vykstančius procesus, vykdyti savavališkas komandas, rinkti konkrečiai sistemai būdingą informaciją, pvz., IP adresus ir kompiuterio pavadinimą, ir leisti įsibrovėliui pakeisti kai kuriuos įrenginio nustatymus.

Wannamine paprastai naudoja Mimikatz, „Windows“ įsilaužimo įrankis, naudojamas „nulaužti“ programinę įrangą, norint gauti daugiau sistemos valdymo. Iš pradžių Benjamino Delpy sukurtas „Mimikatz“ gali pasiekti kompiuterio slaptažodžius per jo atmintį ir pavergti į robotų tinklą. Ji taip pat turi galimybę eksportuoti saugos sertifikatus, nepaisyti „Microsoft AppLocker“ ir procesų, susijusių su programinės įrangos apribojimų policija, taip pat modifikuoti teises.

Kriptojackingo statistika

Kriptojackingo praktika, matyt, siaučia ir praeitą lapkritį paskelbė statistika „AdGuard“ apkaltintas kad daugiau nei 33 000 svetainių, kuriose iš viso kas mėnesį apsilanko daugiau nei 1 milijardas lankytojų, turėjo kriptografijos scenarijus. Dauguma nesivargino įspėti vartotojų apie tai. Teigiama, kad „Monero“ yra tinkamiausia kriptovaliuta kriptografijos dalyviams dėl savo pseudonimiškumo funkcijų ir galimybės būti išgaunamam naudojant vidutinio ir žemo lygio kompiuterius.

Vasario mėnesį buvo nustatyta, kad daugiau nei 34 000 svetainių naudoja „CoinHive“ „JavaScript“ kasyklą, kuri taip pat naudojama Monero kasybai. Tai buvo pagal statistinius duomenis, gautus iš „PublicWWW“ paieška duomenų bazė, kuri gali būti naudojama norint atskleisti „JavaScript“ fragmentus svetainėse.

„CoinHive“ kalnakasis yra iš esmės teisėtas būdas vykdyti naršyklės kasybą. Šiuo metu yra tik apie 19 000 tinklalapių, kuriuose yra „Coinhive“ kodas. Staigus internetinių svetainių, kuriose naudojama kalnakasių veikla, sumažėjimas tikriausiai yra susijęs su mažėjančiu kasybos pelningumu.

Toli nuo Coinhive, Smominru Monero kalnakasys buvo rastas būti aktyviausia laukinėje gamtoje ir skleidžiama naudojant „EternalBlue“ išnaudojimą. Pirmą kartą jo naudojimas buvo aptiktas praėjusių metų gegužę, ir tuo metu pranešė, kad jo veikėjai per savaitę kasė 8500 USD vertės „Monero“. Jų tinklų tinklą sudarė daugiau nei 526 000 užkrėstų mazgų, kurie, atrodo, buvo serveriai, esantys Taivane, Rusijoje ir Indijoje.

Apsauga nuo šifravimo kasybos atakų

Lengva apsaugoti kompiuterį nuo „EternalBlue“ pagrįstos kasybos kenkėjiškų programų atakų, reguliariai atnaujinant langus ir atliekant virusų nuskaitymą naudojant „Windows Defender Antivirus“. Kompiuterių vartotojai taip pat turėtų vengti naudoti „įtrūkusią“ programinę įrangą, nes daugelis sukuria įsilaužėlių užpakalinę prieigą.