У переважній більшості випадків, приблизно в дев’яти з десяти, боротьба з криптозловмисним програмним забезпеченням виявляється настільки ж складною, як і його своєчасне виявлення.
Чи спало б вам на думку підозрювати раптове погіршення швидкодії вашого комп’ютера?
Чимало користувачів, на жаль, проігнорують це! Подібно до цього, лише деякі звертають увагу на нерегулярні затримки в роботі системи, часто списуючи їх на “звичайні” проблеми їхньої операційної системи.
Проте, якщо заглибитися у дослідження, можна виявити, що за цими симптомами ховається шкідлива програма, яка непомітно використовує системні ресурси та знижує загальну продуктивність.
Що ж таке криптозловмисне програмне забезпечення?
Можна сказати, що криптозловмисне програмне забезпечення є ніби цифровим паразитом, який непомітно впроваджується сторонніми особами та виснажує обчислювальні потужності вашого пристрою без вашого відома.
Насправді, цей процес має більш точну назву – криптоджекінг.
Як вже згадувалося, складність виявлення полягає саме в його маскуванні. Зазвичай, якщо ви не знаєте, як “звучить” ваш комп’ютер у звичайному режимі (шум вентиляторів, швидкість роботи тощо), а також загальну продуктивність системи, відрізнити зловмисне ПЗ буде дуже складно.
Програми для майнінгу криптовалют можуть непомітно працювати у фоновому режимі вашого пристрою до моменту, поки ви їх навмисно не видалите.
Якщо говорити простою мовою, криптомайнери є програмами, які вносять вклад у криптовалютний світ, перевіряючи транзакції та видобуваючи нові монети. Це дозволяє отримувати пасивний дохід їхнім операторам.
Але вони стають криптозловмисним ПЗ, якщо їх встановлюють у систему без відома та дозволу адміністратора, що перетворює це на кіберзлочин.
Щоб легше зрозуміти, уявіть ситуацію: хтось використовує вашу ділянку, щоб посадити фруктове дерево, беручи воду та інші необхідні ресурси з вашого будинку, і при цьому позбавляє вас плодів або ж грошей від їх продажу.
Це є аналогією криптоджекінгу у реальному світі.
Як працює криптозловмисне програмне забезпечення?
Подібно до більшості видів шкідливого ПЗ!
Ви ж не шукаєте навмисно заражені файли та не встановлюєте їх задля розваги.
На жаль, вони потрапляють до вас найпростішими шляхами:
- Перехід за посиланням в електронному листі
- Відвідування веб-сайтів, що працюють по протоколу HTTP
- Завантаження файлів із ненадійних джерел
- Натискання на підозрілу рекламу тощо
Крім того, зловмисники часто використовують методи соціальної інженерії, щоб змусити користувачів завантажувати таке шкідливе ПЗ.
Після встановлення, криптозловмисне програмне забезпечення використовує ресурси вашої системи, поки ви його не виявите та не видалите.
До ознак зараження криптозловмисним програмним забезпеченням належать збільшення швидкості обертання вентиляторів (шум), інтенсивніше нагрівання пристрою та зниження продуктивності.
Криптозловмисне програмне забезпечення проти. Криптовимагача
Криптовимагач не є таким непомітним. Після проникнення в систему він може заблокувати ваш доступ до неї, вимагаючи сплатити викуп за відновлення доступу.
Зазвичай, ви побачите повідомлення з контактами зловмисників (номер телефону, електронна адреса) або дані для переказу коштів.
Залежно від вимог, деякі користувачі погоджуються на умови шахраїв, щоб повернути доступ до системи. Однак, трапляються випадки, коли така згода не приносить полегшення, а лише перетворює жертву на мішень для майбутніх атак.
Криптозловмисне програмне забезпечення, навпаки, не є настільки очевидним. Воно тихцем працює у фоновому режимі, споживаючи ресурси вашого пристрою, і приносить постійний пасивний дохід кіберзлочинцям.
Поширені види криптозловмисних атак
Нижче наведено декілька прикладів атак, які вразили цифровий світ своєю винахідливістю.
#1. Graboid
Graboid був виявлений дослідниками компанії Palo Alto Networks та описаний у звіті 2019 року. Зловмисники використовували близько 2000 незахищених хостів Docker, що не потребували авторизації.
Вони відправляли віддалені команди для завантаження та розгортання заражених образів Docker на скомпрометованих хостах. З завантаженням поставлявся інструмент для зв’язку з іншими вразливими машинами та загрози їм.
Потім “модифіковані” контейнери завантажували чотири сценарії та запускали їх послідовно.
Ці сценарії запускали майнери Monero випадковим чином протягом 250-секундних сесій та розповсюджували шкідливе ПЗ через мережу.
#2. PowerGhost
PowerGhost, виявлений лабораторією Касперського у 2018 році, це безфайлове криптозловмисне програмне забезпечення, націлене переважно на корпоративні мережі.
Безфайловий характер означає, що він проникає в системи, не привертаючи уваги. Потім він проникає на пристрої за допомогою Windows Management Instrumentation (WMI) або експлойту EthernalBlue, який використовувався в сумнозвісній атаці WannaCry.
Після проникнення в систему, він намагався відключити інші майнери (якщо такі були), щоб забезпечити максимальний дохід для відповідальних зловмисників.
Відомо, що один із варіантів PowerGhost не лише використовує системні ресурси, а й здійснює DDoS-атаки на інші сервери.
#3. BadShell
BadShell був виявлений підрозділом Comodo Cybersecurity у 2018 році. Це ще один безфайловий крипто-хробак, який не залишає слідів у системному сховищі, а натомість працює через процесор та оперативну пам’ять.
Він підключається до Windows PowerShell для виконання зловмисних команд. Він зберігає двійковий код у реєстрі Windows та запускає сценарії криптомайнінгу за допомогою Планувальника завдань Windows.
#4. Ботнет Prometei
Ботнет Prometei, виявлений вперше у 2020 році, використовував відомі вразливості Microsoft Exchange для встановлення криптозловмисного програмного забезпечення для майнінгу Monero.
Ця кібератака використовувала багато інструментів, таких як EternalBlue, BlueKeep, SMB і RDP експлойти для поширення в мережі, щоб націлитися на незахищені системи.
Він мав багато версій (як і більшість шкідливих програм), і дослідники Cybereason вважають, що він існує з 2016 року. Крім того, він є кросплатформним і заражає системи Windows та Linux.
Як виявити та запобігти криптозловмисному програмному забезпеченню?
Найкращий спосіб виявити криптозловмисне програмне забезпечення – це уважно стежити за роботою системи. Збільшення шуму вентиляторів або раптове зниження продуктивності можуть видати цих цифрових паразитів.
Однак, операційні системи є складними об’єктами, а ці процеси часто відбуваються у фоновому режимі, тому користувачі зазвичай не помічають таких незначних змін.
У такому випадку, ось декілька рекомендацій, які допоможуть вам захиститися:
- Завжди оновлюйте свої системи. Застаріле програмне забезпечення часто має вразливості, якими користуються кіберзлочинці.
- Використовуйте надійний антивірус. Важко переоцінити важливість хорошого антивіруса на кожному пристрої. Такі атаки можуть відбуватися незалежно від операційної системи (навіть на Mac!) та типу пристрою (смартфони, планшети).
- Не натискайте на все поспіль. Цікавість – це людська природа, якою часто зловживають. Якщо цього неможливо уникнути, скопіюйте підозріле посилання та вставте в будь-яку пошукову систему, щоб перевірити, чи безпечно його відкривати.
- Звертайте увагу на попередження браузера. Сучасні веб-браузери набагато розумніші, ніж були десять років тому. Не ігноруйте жодного попередження без ретельної перевірки. Крім того, уникайте веб-сайтів, що використовують протокол HTTP.
- Будьте в курсі. Кіберзлочинці постійно оновлюють свої інструменти та методи. Тому, читайте про останні кібератаки та діліться інформацією з колегами.
Поширення криптозловмисного програмного забезпечення зростає!
Це пов’язано зі зростанням популярності криптовалют та складністю виявлення подібного ПЗ.
Після проникнення в систему, воно продовжує приносити зловмисникам пасивний дохід майже без будь-яких зусиль з їхнього боку.
Однак, дотримуючись вищезазначених порад, ви зможете захистити себе.
І, як вже згадувалося, найкращим рішенням буде встановлення програмного забезпечення для кібербезпеки на всі ваші пристрої.
Далі рекомендуємо ознайомитися зі вступом до основ кібербезпеки для початківців.