Вирусы-вымогатели — забытое прошлое. Сегодня все продвинутые хакеры зарабатывают тем, что майнят криптовалюты на компьютерах пользователей без их ведома.Такой вид заработка имеет три существенных плюса: легкие деньги, низкий риск и миллиарды потенциальных целей.
А что привело к такому положению вещей и какими могут быть последствия?
В начале 2017 года, группа хакеров опубликовала несколько созданных в АНБ США инструментов для использования уязвимостей, включая программу EternalBlue, которая упрощает взлом Microsoft Windows.
Параллельно группа криптоактивистов, недовольных недостаточной анонимностью биткоина, разработала криптовалюту Monero. Она гораздо лучше подходит для скрытия следов незаконных операций. Стоит отметить, что все основанные на блокчейне криптовалюты используют системы подтверждения транзакций, опирающиеся на майнеров, которые автоматически получают оплату за свою работу в соответствующей валюте. В свою очередь, хакеры придумали способ зарабатывать, тайно устанавливая на компьютеры ничего не подозревающих людей ПО для майнинга Monero.
Пользователь чаще всего не знает, что его взломали, и может заподозрить это только по возросшей загрузке компьютера и по увеличенному энергопотреблению. В этом случае, нет никаких экранов с требованиями выкупа, у вас никто не крадет пароли и номера кредиток.
Новая угроза
Самая большая проблема - незаметность этого промысла. Подразделение корпорации Cisco Systems, под названием Talos, специализируется на кибербезопасности. Его аналитики пишут: «Это новая модель. Теперь они используют ресурсы зараженных компьютеров для майнинга криптовалюты».
Такой способ заработка легкий в реализации и очень выгодный. Представители команды CrowdStrike пишут: «Рост покупательной способности и ликвидности приводит к повышению стоимости — а также волатильности — криптовалют. Естественно, там, где возникают деньги, появляются и преступники».
Таким образом, пока разработчики антивирусов выпускали средства для борьбы с вирусами-вымогателями, появилась новая модель заработка.
Ботнеты
Когда хакеры объединяют множество зараженных компьютеров в сеть для некоторой общей задачи, это называется ботнетом — такая система может выполнять DDoS-атаки и другие действия, требующие больших объемов согласованных вычислений.
Но в случае с майнингом, компьютеры работают отдельно друг от друга, просто их должно быть много — каждый майнер генерирует относительно небольшую сумму. Команда Talos пишет:
«Мы видели ботнеты, состоящие из миллионов зараженных систем, а значит теоретически они могут зарабатывать более 100 млн долларов в год. После первоначального заражения поддержание системы требует минимальных усилий, и, учитывая, что обнаружить ПО для майнинга очень сложно, такой вид заработка будет долго приносить деньги мошенникам».
Существует несколько разных семейств ботнетов, эксплуатирующих разные типы уязвимостей. Один из самых вредоносных называется Smominru. Сандифорд Оливер, исследователь кибербезопасности в Proofpoint, известный под псевдонимом Kafeine, говорит: «Аналитики Proofpoint отследили огромный ботнет Smominru, который уже заработал для своих операторов миллионы долларов. Учитывая значительную прибыль, доступную операторам ботнета, и его устойчивость, мы ожидаем, что его работа будет продолжаться».В Smominru используется эксплоит EternalBlue, разработанный в АНБ, — он нацелен на инфраструктуру управления Windows (WMI). Обычно атакующий отправляет фишинговое письмо с прикрепленным файлом Microsoft Word. Когда пользователь запускает файл, запускается макрос, выполняющий скрипт на Visual Basic, который, в свою очередь, запускает скрипт на Microsoft PowerShell, а он загружает и устанавливает исполняемый файл майнера.
Еще один популярный червь, эксплуатирующий уязвимость в WMI, называется WannaMine. Команда CrowdStrike пишет: «Мы обнаружили, что червь, получивший название WannaMine, устроен довольно сложно. Он никак не выдает свое присутствие, а использование системного ПО, в том числе WMI и PowerShell, затрудняет его обнаружение существующими антивирусами».
Однако уязвимость в WMI — не единственная. Некоторые исследователи сообщают об атаках через Microsoft SQL Server и Oracle WebLogic, а месяц назад появилась атака на Android-устройства, основанная на сканировании открытых отладочных портов.
Прибыль
Общее у всех этих преступлений одно — майнинг анонимной криптовалюты Monero. Оливер продолжает:
«Альтернативные биткоину криптовалюты, в том числе ефир и Monero, продолжают дорожать, и тем самым привлекают к себе внимание преступников, ищущих быстрой прибыли и анонимности транзакций».
Другие криптовалюты также используются, но Monero остается фаворитом. Кевин Эпштейн, вице-президент Центра противодействия угрозам Proofpoint, говорит: «Этот ботнет, добывающий Monero, очень велик — и в основном это серверы на Windows, рассеянные по всему свету. Мы постоянно видим, как преступники внимательно следят за тенденциями и переключаются на наиболее выгодные схемы, а сейчас деньги как раз в криптовалюте».Оливер подчеркивает: «В прошлом году мы наблюдали, как отдельные случаи майнинга на компьютерах пользователей быстро распространились, а поскольку биткоин добывать на обычных компьютерах невыгодно, популярность приобрел Monero».
Сочетание простых ботнетов и анонимной криптовалюты привело к росту преступности. Команда Talos пишет: «Майнинг криптовалют — один из самых простых способов заработка для преступников. Обычно для получения прибыли от взломанного компьютера приходилось красть, а затем реализовывать документы, пароли, кошельки, закрытые ключи. Теперь все это не нужно».
Под радаром
Команда Talos пишет, что, в отличие от вирусов-вымогателей, вирусы-майнеры практически незаметны для пользователя, а так же, не требуют «ухода». Если раньше вирусу приходилось отсылать хакеру все потенциальные ценности с компьютера жертвы, то теперь этого не нужно — злоумышленнику достаточно указать номер анонимного криптовалютного кошелька.
Что же крадут у жертв? Команда Talos пишет:
«Атакующие не воруют ничего, кроме вычислительной мощности. Используемые ими программы не предназначены для нанесения какого-либо вреда. Таким образом, жертва может оставаться частью ботнета очень долго».
Тем не менее, кое-что они все же крадут: ресурсы процессора и электричество. Команда CrowdStrike пишет: «Обычно такое заражение воспринимается как безобидное, но майнинг может влиять на бизнес — мы видели, как компании выпадают из рабочего процесса на несколько дней и даже недель.В Proofpoint согласны: «Поскольку большинство компьютеров в таких ботнетах — это серверы под управлением Windows, влияние пониженной производительности на потенциально критическую бизнес-инфраструктуру может быть очень высоким, да и лишняя электроэнергия может обойтись дорого».
Будущее незаконного майнинга
Да, этот тип кибератак незаметен, и поэтому может показаться безобидным, но на самом деле именно в этом и состоит угроза. В отличие от вирусов-вымогателей, где клиенты требуют у антивирусных компаний немедленного решения, здесь распространение вируса идет бесконтрольно. Таким образом, можно ожидать, что такой вид заработка вскоре приобретет масштаб эпидемии. Более того, в какой-то момент разные злоумышленники начнут заражать одни и те же компьютеры.
В этот момент, мы увидим снижение вычислительной мощности, поскольку международная компьютерная инфраструктура окажется под нагрузкой нескольких ботнетов, каждый из которых будет зарабатывать деньги своему хозяину.
Возможно, последствия будут настолько пагубными, что программными методами проблему будет не решить, и правительствам придется просто раз и навсегда запретить криптовалюты.
