Cryptojacking jest coraz większym problemem w sieci, wg raportu Cyber Threat Alliance (CTA), zrzeszającego największe firmy zajmujące się cyberbezpieczeństwem. Wg danych stowarzyszenia, liczba wykrytych programów cryptojackingowych wzrosła o ponad 450% w stosunku do 2017 r., nie wykazując jakichkolwiek tendencji wyhamowujących ten wzrost w przyszłości. Kopanie kryptowalut za pomocą mocy obliczeniowej zainfekowanego komputera bez wiedzy jego użytkownika jest obecnie najpopularniejszym typem cyberataku w sieci.
Niewidzialny problem
Wg raportu The Illicit Cryptocurrency Minig Threat cryptojacking jest coraz popularniejszym zagrożeniem cyberbezpieczeństwa, zarówno dla przedsiębiorstw, instytucji, jak i osób prywatnych. Wg CTA problem ten jest powszechnie bagatelizowany, gdyż osoby atakowane nierzadko nie zdają sobie sprawy z tego, że złośliwe oprogramowanie kopiące kryptowaluty za pomocą ich sprzętu, nie tylko zauważalnie zwiększa pobór prądu i obniża dostępną moc obliczeniową. Cryptojacking może doprowadzić również do znacznego obniżenia produktywności w danej organizacji, zaś w skrajnych przypadkach nawet uszkodzić sprzęt komputerowy (najczęściej przez długotrwałe przegrzanie podzespołów). Warto mieć również na uwadze, że o ile samo oprogramowanie cryptojackingowe nie jest stworzone po to, aby uszkodzić sprzęt lub pliki atakowanego, to sam fakt jego obecności w danej sieci świadczy o tym, iż poziom jej zabezpieczeń jest na tyle niski, że znacznie bardziej niebezpieczne oprogramowanie również może przeprowadzić pomyślny atak. Mowa tutaj głównie o wirusach typu ransomware, które szyfrują dostęp do plików znajdujących się na zainfekowanym komputerze lub serwerze, najczęściej żądając okupu za ich odszyfrowanie.
Cryptojacking coraz popularniejszy
Cyber Threat Alliance określił zeszły rok jako zdominowany przez ataki ransomware, w 2018 r. natomiast bezapelacyjnie królują skrypty cryptojakcingowe, które są coraz popularniejsze, wraz ze wzrostem zainteresowania samymi walutami cyfrowymi. Jeszcze w 2016 r. liczba wykrytych przez oprogramowanie antywirusowe złośliwych skryptów do kopania kryptowalut kształtowała się na poziomie błędu statystycznego, w 2017 r. wzrastając z niemal zerowego poziomu. Obecnie cryptojacking jest coraz popularniejszy, czego najlepszym dowodem jest 459% wzrost aktywności złośliwego oprogramowania od początku zeszłego roku.
Z raportu wynika również, że atakujący korzystają z coraz bardziej wyrafinowanych i trudniejszych do wykrycia skryptów cryptojackingowych - niektóre z nich dobierają moc obliczeniową wykorzystywaną do kopania w taki sposób, aby atakowany nie dostrzegł szybkiego spadku wydajności, inne zaś przestają kopać np. po wykryciu ruchu myszką. Co więcej, w 2018 r. celem ataków cryptojackingowych stały się już nie tylko komputery i serwery, ale również urządzenia IoT, takie jak Smart TV, drukarki, a nawet lodówki.
Nie zmienia to faktu, że wciąż duża część ataków przeprowadzana jest za pomocą gotowych do użycia skryptów, takich jak Coinhive, XMR Rig, WannaMine czy PowerGhost.
Wzrost liczby wykryć oprogramowania cryptojackingowego, źródło: Raport CTA
NSA współodpowiedzialna za ataki cryptojakckingowe?
Wg Cyber Threat Alliance, najbardziej narażone na ataki cryptojackingowe są komputery z najpopularniejszym systemem operacyjnym Windows. Co ciekawe, współodpowiedzialna za dużą podatność komputerów na cryptojacking jest NSA (Amerykańska Agencja Bezpieczeństwa), która stworzyła słynny exploit (program łamiący bezpieczeństwo) o nazwie EternalBlue, który pozwalał włamać się do komputerów z większością dostępnych rodzajów systemu operacyjnego Windows. EternalBlue nie został odpowiednio zabezpieczony przez NSA i wyciekł do sieci w kwietniu 2017 r., opublikowany przez anonimową grupę hakerów o nazwie Shadow Brokers. Wyciek EternalBlue pozwolił cyberprzestępcom na przeprowadzenie potężnych ataków ransomware, takich jak WannaCry (maj 2017 r.), czy NotPetya (czerwiec 2017 r.), które sparaliżowały pracę tysięcy instytucji z całego świata. EternalBlue pozwolił również na przeprowadzanie ataków cryptojackingowych, które w większości bazują na jego mozliwościach. Cyber Threat Alliance zauważa, że wciąż ogromna część organizacji działających na starym lub niezaktualizowanym oprogramowaniu pada ofiarą ataków cryptojackingowych opartych na exploicie EternalBlue, mimo tego że Windows wydał aktualizację zabezpieczeń ponad 18 miesięcy temu.
Gdyby nie wyciek oprogramowania NSA w zeszłym roku, liczba udanych ataków mogłaby być znacznie niższa.
Monero niechlubnym liderem
Mimo spadków notowań kryptowalut i systematycznego wzrostu trudności wydobycia, cryptojacking jest lukratywnym zajęciem dla atakujących. Wg CTA, jedna z kampanii nieuczciwego kopania Monero (XMR) o nazwie Somominru zarobiła od lutego 2018 r. ponad 2,3 mln dolarów.
Monero jest bezapelacyjnie najpopularniejszą kryptowalutą kopaną przez oprogramowanie cryptojackingowe, wykorzystywaną w ponad 85% ataków. Powodów można doszukiwać się przede wszystkim w cechach samego XMR, które jest uznawane za kryptowalutę zapewniającą największą anonimowość, dzięki czemu zlokalizowanie atakujących jest niemal niemożliwe, a także stosunkowo wysokiej opłacalności wydobycia za pomocą procesorów CPU i kart graficznych GPU, w porównaniu m.in. z bitcoinem (BTC), który kopany jest jedynie w 8% ataków.
Czytaj także: Ile można zarobić nielegalnie kopiąc Monero?
Czym jest CTA?
Cyber Threat Alliance to założone w 2014 r. nieformalne stowarzyszenie, mające na celu dzielenie się wiedzą, a także wspólne badanie stanu zabezpieczeń sieci internetowej, zrzeszające liczące się w branży firmy zajmujące się cyberbezpieczeństwem, takie jak: Fortinet, McAfee, Palo Alto Networks oraz Symantec. W 2015 r. CTA wydała obszerny raport Cryptowall Version 3 Threat, w którym diagnozuje największe niebezpieczeństwa związane ze złośliwym oprogramowaniem, w tym głównie ransomware, szyfrującym dostęp do plików na zainfekowanym komputerze. Platforma do dzielenia się informacji na temat zagrożeń cyberbezpieczeństwa, z których tworzone są później m.in. aktualizacje baz wirusów w oprogramowaniu antywirusowym została założona w 2017 r.
