Согласно отчету гиганта кибербезопасности компании SonicWall, во второй половине 2019 года количество атак криптоджекинга сократилось на 78%. Основные причины: закрытие майнинг-сервиса Coinhive, падение популярности анонимной криптовалюты Monero и изъятие зараженных маршрутизаторов. В то же время отчет показывает увеличение числа новых угроз. Какую угрозу криптоджекинг несет для держателей криптовалют в этом году, какие способы атак наиболее популярны у хакеров сейчас и как защитить от них свои крипто-активы — разобрался DeCenter.

Эпидемия криптоджекинга начала стихать

Напомним, что криптоджекинг — это вид атаки, при которой хакеры используют компьютер жертвы для тайного майнинга криптовалют. В отличие от вирусов-вымогателей, троянов или взломщиков криптокошельков, если устройство заражается вирусом-майнером, злоумышленники не получают информацию жертвы и доступ к ее средствам (что будет смягчающим обстоятельством, если хакеров поймают — правовые последствия не такие серьезные, как при вымогательстве денег). Тем не менее, криптоджекинг не проходит без последствий: вредоносная программа замедляет работу сети, портит устройства и заставляет переплачивать за электроэнергию.

Два самых популярных способа использования вирусов-майнеров: фишинговые атаки (переход по сомнительным ссылкам из сообщений) и заражение сайтов. Мощности индивидуальных компьютеров недостаточно для выгодного майнинга, поэтому криптоджекинг-атакам обычно подвергаются облачные сервисы, сайты и крупные компании.

Самые популярные монеты для такого майнинга: анонимные Zcash или Monero. Так, по данным исследователей университета Ахена, от августа 2018 года до 75% монет, добываемых посредством браузерного майнинга, были Monero. По данным Palo Alto Networks от 2018 года, более 5% XMR в обращении было добыто подобным образом. А по данным исследователей Мадридского университета от 2019 года, доля монет Monero, добытых криптоджекингом составляет 4.32%.

В 2017−2019 годах криптоджекинг считался самой большой угрозой кибербезопасности — на него приходилось до 35% всех киберугроз. Только за 2018 год он вырос на 459%. По данным японской компании Trend Micro, занимающейся кибербезопасностью, в первой половине 2019 года криптоджекинг был самой часто обнаруживаемой угрозой на зараженных устройствах.

Основной ущерб от криптоджекинга ощущает на себе малый и средний бизнес — на первый приходится около трети трафика криптоджекинга, на второй — половина, на долю крупных компаний — 18% (крупный бизнес более серьезно относится к информационной безопасности). Распределение трафика криптоджекинга по отраслям: на первом месте находится энергетический сектор — 34%, за ним следуют образование — 26% и здравоохранение — 7%. Больше всего зараженных устройств в США — 62%. Объем корпоративного трафика, связанного с криптоджекингом, в первой половине прошлого года увеличился в 200 раз по сравнению с предыдущим.

Вирусы-майнеры тысячами взламывали:

 Интернет-магазины

 Сайты на WordPress

 Сайты государственных служб, больниц и университетов

 Майнинговые скрипты добрались даже до рекламы на YouTube

 Браузерные расширения

 И мобильные приложения

Всего были заражены десятки тысяч ресурсов. Эксперты предсказывали еще большие цифры, однако эпидемия криптоджекинга начала стихать с конца 2018 года. Согласно данным SonicWall, на криптоджекинг пришлось около 52.5 млн атак в первом полугодии 2019 года и 11.6 млн во втором — снижение составило 78%, то есть почти в 5 раз.

Аналогичные выводы, хоть и с другими цифрами, делают аналитики «Лаборатории Касперского». По данным компании, количество атак криптоджекинга в 2019 году сократилось на 59% — с 5 638 828 до 2 259 388.

Исследователи SonicWall объяснили наблюдаемое снижение закрытием майнинг-сервиса Coinhive в марте 2019 года, падением популярности Monero, спадом котировок активов крипторынка и переходом хакеров на новые виды атак. Разберем это подробнее ниже.

Закрытие Coinhive и падение популярности Monero

Майнинг-сервис Coinhive был запущен в 2017 году. Он предоставлял владельцам сайтов возможность зарабатывать Monero за счет своих посетителей с помощью браузерного скрипта. Изначально предполагалось, что Coinhive станет альтернативой баннерной рекламе, однако сервис стал быстро популярен среди преступников. Они встраивали майнинговый скрипт в сайты, не ставя в известность владельцев. Разработчики Coinhive публично осуждали преступников, но понимали, что репутацию компании уже не спасти. Суммарно проект намайнил монеты на несколько миллионов долларов.

Coinhive закрылся в марте 2019 года. Согласно официальному заявлению, сайт перестал быть экономически выгоден. Причины этого в падении хэшрейта сети Monero из-за намечавшегося на конец марта хардфорка монеты — ее майнинг стал бы невыгоден — и в снижении стоимости XMR на 85% за год. Падение популярности XMR, скорее всего, обусловлено тем, что пользователи стали ассоциировать монету с незаконной деятельностью. Кроме того, разработчики Monero как раз объявили о начале борьбы со скрытым майнингом.

Однако даже закрытие Coinhive не решило проблему. Так, по данным Malwarebytes, в мае 2019 года количество ресурсов, зараженных скриптами сервиса, сократилось лишь на четверть от пиковых значений. Правда, активности на этих сайтах не было, так как сервер закрыт. Тем не менее на рынке по-прежнему работают аналоги Coinhive, например, CryptoLoot, CoinIMP и WebMinePool. Но, кажется, что эпидемия криптоджекинга действительно может сойти на нет — объемы заражения значительно меньше, чем были раньше.

Операция Goldfish Alpha сократила количество зараженных роутеров на 78%

Простой браузерный криптоджекинг стал сходить на нет, и хакеры переключились на IoT-устройства. Теперь они не ограничиваются заражением конкретных сайтов майниноговыми скриптами. Гораздо более выгодной стратегией оказалось внедрение майнинга во весь трафик пользователя. Например, через заражение маршрутизаторов, пользователей можно направлять на фишинговые и другие вредоносные сайты.

Заражение маршрутизаторов латвийского производителя MikroTik криптомайнинговыми скриптами стало популярным среди хакеров с лета 2018 года. Используя уязвимость MikroTik, к августу 2018 года злоумышленники смогли заразить более 200 000 маршрутизаторов по всему миру через Coinhive, а после его закрытия — через WebMinePool. MikroTik пыталась бороться с хакерами, выпуская обновления, но те постоянно его опережали.

В начале января этого года Интерпол объявил о завершении спецоперации Goldfish Alpha. Так, с июня по ноябрь 2019 года удалось выявить и обезопасить более 20 000 роутеров (18% от общего числа), зараженных вирусами-майнерами через уязвимость в маршрутизаторах MicroTik. Операция прошла при поддержке японского Института киберзащиты (CSI) и компании Trend Micro — они предоставили свою экспертизу и рекомендации по «исцелению» зараженных маршрутизаторов. Операция прошла в 10 странах Юго-Восточной Азии: в Брунее, Камбодже, Индонезии, Лаосе, Малайзии, Мьянме, Филиппинах, Сингапуре, Таиланде и Вьетнаме. Это снизило количество зараженных устройств на 78% (из отчета SonicWall неясно, учитывали они эти цифры или нет). Мероприятия по идентификации и исправлению оставшихся устройств продолжаются до сих пор.

В конце декабря прошлого года специалист по кибербезопасности Чарли Осборн предупредил, что несмотря на обновления систем безопасности, большинство версий роутеров MikroTik остаются уязвимыми для различных эксплойтов. На момент выхода статьи, по данным поисковой системы IoT-устройств Censys, функционируют еще 22 400 зараженных через Coinhive маршрутизаторов MikroTik. Злоумышленники также могут воспользоваться бесплатными инструментами вроде MikroRoot для поиска по всему интернету уязвимых маршрутизаторов и автоматического получения контроля над ними.

История с маршрутизаторами MikroTik наглядно показывает уязвимость IoT-устройств перед киберпреступниками. Аналитики SonicWall предупреждают о появлении вирусов-вымогателей и краж данных на обычных устройствах: умных колонках, телевизорах, зубных щетках, холодильниках, дверных звонках и так далее. По данным компании, в 2019 году было совершено 34.3 млн атак на «умные вещи» — на 5% больше, чем годом ранее. Аналитики ожидают, что по мере увеличения количества умных предметов и гаджетов в нашей жизни количество атак на них будет только расти.

Как защититься от криптоджекинга?

Аналитики SonicWall отмечают, что популярность криптоджекинга снижается вслед за ценой биткоина (это явно расходится с тем, что в прошлом году монета выросла в цене в 2 раза). Поэтому они полагают, что при росте рынка хакеры еще вернутся к идее тайного майнинга — говорить о полной ликвидации угрозы слишком рано. Поэтому, несмотря на снижение интереса хакеров к криптоджекингу, не помешает быть бдительным.

Основные симптомы заражения вирусом-майнером или попадания на зараженный сайт: снижение производительности, замедление процессов, увеличившийся шум устройства, зависания и ошибки.

Чтобы избежать заражения:

 Пользуйтесь лицензированными антивирусами с защитой от майнинговых скриптов, например, Kaspersky Free.

 Не пренебрегайте стандартными методами интернет-безопасности: используйте надежные пароли, не открывайте подозрительные письма или файлы и не переходите по ссылкам из них, скачивайте официальные приложения, обновляйте ПО до актуального.

 Установите браузерные расширения, предотвращающие криптоджекинг, например, NoScript, uMatrix или No Coin.

 Отключите JavaScript на подозрительных сайтах.

 Проверьте, защищен ли ваш браузер от майнинга, например, через сервис cryptojackingtest.com (сервис Opera проверяет уязвимость лишь от скрипта Coinhive).

Хакеры выбирают более выгодные векторы атак

Согласно выводам аналитиков SonicWall, в этом году хакеры сконцентрируются на более выгодных для себя направлениях атак: прежде всего, вымогательстве, взломе приложений (за прошлый год атаки на них выросли на 52%) и кражах личных данных пользователей, в том числе и биометрической информации.

Бум вирусов-вымогателей достиг своего пика в 2017−2018 годах, а потом пошел на спад. Количество атак снизилось на 9% за прошлый год, но они стали более адресными и сосредоточенными в первую очередь на органах власти и образовательных учреждениях. На фоне роста рынка в 2020 году они участятся и станут более изощренными, продуманными и точечными.

Основной упор хакеров будет сосредоточен на краже фиатных средств. Так, исследователи «Лаборатории Касперского» отметили в прошлом году увеличение на 187% зараженных документов и программ, предназначенных для кражи данных с кредиток. Общее же количество вредоносных программ увеличилось на 13.7%. Большинство из них предназначено для поражения производственных серверов, которые содержат критически важные данные.

Криптопользователям в 2020 году больше всего стоит опасаться:

 Новых атак на биржи;

 Взломов криптокошельков;

 Атак по сторонним каналам, использующих уязвимости в устройствах, благодаря чему злоумышленники могут обходить пароли и цифровые подписи;

 Пылевых атак — суть заключается в рассылке злоумышленниками небольшого количества монет на кошельки пользователей, которая позволяет раскрывать их конфиденциальность, пылевые атаки — набирающий популярность новый вид атак;

 Нового витка фишинговых атак через SMS и сообщения в мессенджерах;

 Мошенничества с Libra и Gram, если они все же будут запущены. Такие глобальные активы неизбежно привлекут повышенное внимание злоумышленников;

 Обнаружения новых уязвимостей в протоколах самих блокчейнов.