Незаконний майнінг використовує потенційно небажаний або шкідливий код, який призначений для споживання обчислювальної потужності певного пристрою з метою прихованого майнінгу. При цьому дії зловмисників приховуються або виконуються у фоновому режимі без отримання згоди користувача або адміністратора.

На чому базується робота даного методу та як розпізнати атаку, розповідають фахівці компанії ESET.

Як це працює?

Існують два основних види незаконного майнінгу:

1. На основі бінарних файлів — видобування криптовалюти за допомогою шкідливих програм, завантажених на пристрій користувача. Як правило, це троянські програми.

2. На основі браузера — видобування криптовалюти через веб-браузер за допомогою шкідливого JavaScript, вбудованого у веб-сторінку або деякі її частини/об’єкти. Цей метод отримав назву “криптоджекінг” та став все більш популярним серед кіберзлочинців з середини 2017 року. Антивірусні продукти виявляють такі скрипти як потенційно небажані програми.

Зверніть увагу: Більшість незаконних програм видобувають криптовалюту Monero або Ethereum. Порівняно з більш відомим Bitcoin, вони мають такі переваги, як високий рівень анонімності транзакцій та виконання за допомогою звичайних процесорів замість спеціалізованих пристроїв. Атаки з метою видобування криптовалюти були виявлені на всіх комп’ютерних платформах, а також на Android та iOS.

Чим незаконний майнінг криптовалюти загрожує малому та середньому бізнесу?

З кожним місяцем кількість атак з метою видобування криптовалюти зростає, що свідчить про наступні загрози:

Незаконний майнінг нібито не становить великої небезпеки, проте організації не повинні недооцінювати ризики загрози. Даний процес, зазвичай, потребує та використовує велику частину обчислювальної потужності пристрою, що знижує продуктивність та швидкість роботи. Енергоємний процес викликає додаткове навантаження та може спричинити шкоду девайсам.

Як розпізнати атаку з метою незаконного майнінгу?

Видобування криптовалюти, як правило, потребує надзвичайно високої активності процесора, що спричиняє негативний ефект, наприклад:

  • Зниження продуктивності пристроїв;
  • Збільшення споживання енергії;
  • Підозрілий мережевий трафік.

Як забезпечити захист від загроз незаконного майнінгу та криптоджекінгу?

  1. Для захисту робочих станцій, серверів та інших пристроїв використовуйте багаторівневі рішення з безпеки, які здатні виявляти потенційно небажані програми для майнінгу, включаючи трояни.
  2. Для виявлення загроз використовуйте програмне забезпечення, яке допомагає виявити підозрілі мережеві комунікації, які пов’язані з незаконним майнінгом (заражені домени, вихідні з’єднання на типових портах, таких як 3333, 4444 або 8333, ознаки стійкості тощо).
  3. Покращуйте видимість мережевого трафіка за допомогою віддаленої консолі управління для забезпечення політики безпеки, моніторингу стану системи, а також захисту робочих станцій та серверів компанії.
  4. Підвищуйте обізнаність співробітників у сфері кібербезпеки (включаючи керівників організації та адміністраторів мережі), наприклад щодо створення надійних паролів та використання двофакторної аутентифікації для підвищення захисту систем компанії у випадку викрадення паролів.
  5. Дотримуйтесь принципу надання мінімальних привілеїв. Користувачі повинні мати облікові записи з обмеженою кількістю дозволів, потрібних для виконання певних щоденних завдань. Цей підхід значно знижує ризик маніпулювання користувачами та адміністраторами з метою відкриття або встановлення шкідливих програм на пристрої в мережі компанії.
  6. Використовуйте контроль програм, який дозволяє зменшити кількість запусків програмного забезпечення до мінімуму, запобігаючи встановленню шкідливої програми для майнінгу.
  7. Застосовуйте надійні політики оновлення програмного забезпечення та встановлення виправлень для зниження ризиків інфікування пристроїв за допомогою раніше виявлених уразливостей, оскільки багато загроз незаконного майнінгу використовують відомі експлойти для розповсюдження, наприклад EternalBlue.
  8. Здійснюйте моніторинг систем компанії щодо надмірного споживання енергії, що може вказувати на небажану активність шкідливих програм для майнінгу.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як змінити пароль у Facebook? ІНСТРУКЦІЯ

Що робити, щоб унеможливити відслідковування Вашого телефону? Поради

Як вимкнути геолокацію на усіх знімках, якими Ви ділитеся зі свого iPhone?

“Додайте гучності!” Вісім способів покращити звук на Вашому смартфоні

Як захистити дані на смартфоні, якщо Ви його втратите? ІНСТРУКЦІЯ

Нагадаємо, через американські санкції компанія Huawei буде змушена повністю припинити виробництво смартфонів, побудованих на базі процесорів власного виробництва з лінійки HiSilicon Kirin. Пов’язано це з тим, що тайванський виробник чипсетів TSMC не зможе використовувати американське обладнання для виготовлення продукції цього бренду, так як влада США заборонила це робити з 16 вересня 2020 року.

Також на конференції з інформаційної безпеки Black Hat 2020 фахівець Patrick Wardle з компанії Jamf розповів про низку експлойтів, що дозволяє обійти захист Microsoft від шкідливих макросів для зараження пристроїв під управлінням macOS. Уразливості представляють собою так звані zero-click, тобто, для їх експлуатації участь жертви не потрібна. Вони дозволяють зловмисникам доставляти шкідливе ПЗ користувачам macOS за допомогою документа Microsoft Office з макросами.

Окрім цього, використовуючи KrØØk, зловмисники можуть перехоплювати та розшифровувати конфіденційні дані жертв. Це можливо завдяки тому, що дані бездротової мережі шифруються за допомогою парного сеансового ключа WPA2, що складається з нулів, замість належного сеансового ключа. Для перехоплення даних кіберзлочинцям не потрібно знати навіть пароль від Wi-Fi, а достатньо знаходитися в межах сигналу Wi-Fi.

Зауважте, що шахраї навчилися красти інформацію через підробку Saved Messages у Telegram. Цим чатом люди користуються як листуванням з самим собою, і можуть зберігати там важливі і конфіденційні відомості.

До речі, шкідливі розширення були виявлені у Chrome Web Store під час вивчення декількох підроблених блокувальників реклами, що розповсюджувалися через магазин розширень. Фахівці виявили 295 шкідливих розширень, завантажених з магазину понад 80 млн разів.