2020/07/29 14:41:22

Скрытый майнинг
Криптоджекинг
Cryptojacking

Майнерами называются программы, эксплуатирующие ресурсы вычислительного устройства для генерации различных криптовалют. Иногда пользователи могут устанавливать это ПО самостоятельно, но иногда речь идет о нелегитимной их разновидности. Такие программы устанавливаются без ведома и согласия пользователя и чаще всего распространяются с помощью всевозможных троянцев и других вредоносных программ.

Содержание

Основная статья: Майнинг криптовалют

Майнинг (добыча) криптовалюты необходим для работы системы. Майнинг состоит из серии вычислений, осуществляемых для обработки транзакций в Блокчейн. Он создает новую криптовалюту и подтверждает транзакцию во всей блокчейн-сети. Чтобы больше создавать криптомонет, необходимо их добывать. Без майнинга система может рухнуть.

Многие пользователи сами стали заниматься майнингом, чтобы заработать деньги. Майнеры выполняют математические операции для подтверждения транзакций, а для этого они используют специальное ПО. Таким образом, чтобы майнинг был прибыльным, необходимо иметь огромные вычислительные мощности. Чтобы делать деньги на майнинге, кибер-преступники стали заниматься криптоджекингом (cryptojacking).

Криптоджекинг заключается в несанкционированном использовании устройств пользователя для добычи криптовалюты. В основном, хакеры используют вредоносное ПО для взлома компьютеров, планшетов или смартфонов, после чего используют их для скрытого майнинга криптовалют. Возможно, пользователь заметит небольшое снижение скорости работы его устройства, но вряд ли подумает о том, что это связано с попыткой атаки на него для майнинга криптовалют. Одна из наиболее распространенных техник заключается в том, чтобы получить контроль над процессором устройства жертвы (CPU) или процессором его видеокарты (GPU) через посещение какого-нибудь веб-сайта, зараженного вредоносной программой для майнинга криптовалют[1].

Как происходит скрытый майнинг?

Чаще всего скрыто майнят пиратские популярные сайты: торрент-трекеры, форумы, сайты с фильмами и сериалами. Для того, чтобы начать майнить за счёт пользователя совершенно необязательно устанавливать на его компьютер троян или другую вирусную программу. Для этого достаточно ввести в код сайта специальный скрипт, который позволяет незаметно подключиться к системе гостей сайта. В принципе, обнаружить это достаточно просто. При таком вмешательстве загрузка процессора резко увеличивается практически до ста процентов. Однако, загружаемые торренты и без этого нагружают систему, что не позволяет определить майнинг[2].

Для того, чтобы увидеть нагрузку процессора на Windows, нужно зайти в «Диспетчер задач» (Task Manager). В MacOS эту функцию выполняет программа «Мониторинг системы» (Activity Monitor).


Избежать скрытого майнинга можно несколькими способами:

  • Установить специальное расширение, блокирующие веб-майнинг.
  • Отключить JavaScript.
  • Использовать надёжный антивирус. Антивирусные программы чаще всего видят майнеры, как потенциально безопасные, но при этом их можно использовать в зловредных целях, то есть, рискованные.

Как компания может защитить себя от криптоджекинга?

Такие атаки имеют серьезные последствия для предприятий. Наиболее очевидные последствия возникают в результате кражи ресурсов процессоров, что может замедлить работу систем и сетей, подвергнув предприятие и всю систему серьезным рискам. Более того, после того как компания была атакована, вполне вероятно, что потребуется достаточно много времени и средств для устранения данной проблемы. Интенсивный майнинг криптовалют также может иметь финансовые последствия для компаний, т.к. в результате повышенного использования ИТ-ресурсов должен наблюдаться рост потребляемой мощности, а это ведет к повышенным расходам на электроэнергию.

Кроме того, такие атаки могут нанести ущерб корпоративным устройствам. Если майнинг осуществляется в течение длительного периода времени, то устройства и их батареи часто испытывают чрезмерную нагрузку и перегрев, что также снижает ресурс работы этих устройств.

Конечно, не следует также забывать, что если вы стали жертвой криптоджекинга, то это означает, что хакеры смогли преодолеть ваши системы безопасности и получить контроль над корпоративными устройствами, подвергнув серьезному риску конфиденциальность корпоративных данных.

Чтобы защититься от возможной атаки по майнингу криптовалют, мы рекомендуем вам соблюдать следующие меры безопасности:

  • Периодически проводите оценки рисков для выявления уязвимостей.
  • Регулярно обновляйте все ваши системы и устройства.
  • Внедряйте решения расширенной информационной безопасности, которые позволяют получить полную видимость активности на всех конечных устройствах и контролировать все запущенные процессы.
  • Создайте безопасную среду для просмотра сайтов, установив расширения, которые препятствуют майнингу криптовалют.

2020

Ущерб в 2 млн рублей от подпольных майнеров

12 августа 2020 года компания «Россети Северный Кавказ» сообщила о выявлении нескольких нелегально подключенных к электросетям ферм для добычи криптовалют в Дагестане. Убытки от незаконной деятельности майнеров оцениваются почти в 2 млн рублей. Подробнее здесь.

Мошенники предлагают вычислительные мощности для майнинга криптовалюты «в аренду»

Эксперты Qrator Labs зафиксировали очередную схему мошенничества на сайтах, где людям предлагают крупный заработок после оплаты «комиссии». Об этом стало известно 28 июля 2020 года. Речь идет о предоставлении вычислительной мощности для майнинга криптовалюты, за аренду которой от клиентов просят деньги.

Технически схема работает следующим образом: клиенту предлагают заплатить 400 рублей за часовую аренду мощностей для майнинга и обещают, что за это время он сможет заработать до ₽20 тыс.

«
В дальнейшем не исключено и списание денег со счетов пользователей, так как в руках злоумышленников оказываются данные банковских карт», — заявил технический директор Qrator Labs Артем Гавриченков.
»

Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд отметил, что похожая схема использовалась и ранее, однако до этого клиентам предлагали скачать программу для майнинга. Она могла быть даже настоящей, но деньги при этом поступали на чужой кошелек.

Чтобы избегать финансовых потерь на подобных сайтах, А. Гавриченков рекомендовал пользователям проверять, есть ли на странице ссылка на главный сайт в том же домене или официальные документы, такие как политика конфиденциальности и пользовательское соглашение[3].

Абхазия стала «центром нелегального майнинга»

В первой половине 2020 года в Абхазию было ввезено 83 партий оборудования для добычи криптовалют. 10 партий на сумму 42 млн рублей таможенный комитет на КПП «Псоу» оформил в режиме временного ввоза, 73 партии на те же 42 млн рублей ввезены как импорт. За 2019 год таможня оформила ввоз 23 партий оборудования для добычи криптовалют на общую сумму 37,4 млн рублей.

Как сообщает «Нужная газета», Абхазия стала центром нелегального майнинга. В этом регионе запрещено добывать криптовалюту с конца декабря 2018 года. Как отметил председатель таможенного комитета Гурам Инапшба, законодательство Абхазии не запрещает ввозить в страну криптооборудование.

«
Получается, что мы их запускаем, а потом начинаем искать, – сказал глава таможенного комитета.
»

По его мнению, решить вопрос достаточно просто – надо запретить ввоз данного оборудования, и «ни один контейнер не пройдет в Абхазию».

Он также обратил внимание, что данные таможни неполные, поскольку часть оборудования завозится контрабандным путем. Только в феврале 2020 года таможенники пресекли незаконный ввоз 38 установок для майнинга.

По словам главы таможни, при завозе подобного оборудования сложно установить, является ли техника бытовой, офисной или она предназначена для получения прибыли.

Ввозом криптооборудования в Абхазию занимается несколько десятков граждан нашей страны, имена которых не подлежат разглашению в соответствии с законом о коммерческой тайне. Иностранцев среди них нет, добавил Гурам Инапшба.

Ранее власти Абхазии предпринимали попытки обеспечить регулирование сферы криптовалютного майнинга. Министерство экономику разработало соответствующий законопроект, в котором в качестве обязательных условий для осуществления этой деятельности были регистрация в качестве юрлица или ИП, постановка на учет в налоговых органах в качестве налогоплательщика и получение лицензии на осуществление деятельности по майнингу криптовалют. Однако данный законопроект не был принят парламентом.[4]  

В Псковской области подпольные майнеры украли электричество на 1,25 млн рублей

23 июня 2020 года стало известно о большой краже электроэнергии на территории поселка Кунья в Псковской области, где была развёрнута крупная майнинговая ферма.

Как сообщили изданию «Московский комсомолец в Пскове» в пресс-службе Псковского филиала «Россети Северо-Запад», майнинговая ферма была спрятана в местном ангаре. Полицейские осмотрели ее совместно с энергетиками. В ходе проверки было установлено, что злоумышленники повредили антимагнитную пломбу, установили на счетчик магнит и безучетно использовали электричество. К сетям было подключено компьютерное оборудование для добычи криптовалюты.

Криптовалютчики разместили производственную базу в одном из старых ангаров. Электричество для своих целей они воровали с помощью подключения к Псковским электросетям

Расследование дела будет вести полиция. Подозреваемым грозит до 5 лет лишения свободы за хищение энергии в особо крупном размере. Точный ущерб мошенников ещё предстоит оценить. По предварительным данным, преступники украли электричество на сумму около 1,25 млн рублей.

Компания «Россети Северо-Запад» просит сообщать обо всех фактах незаконного подключения к электросетям и хищения электроэнергии на единый бесплатный телефон «горячей линии».[5]

Это далеко не первый случай разоблачения подпольных майнеров, которые нанесли компани ущерб. Специалисты «Россети Ленэнерго» (юридическое наименование – ПАО «Ленэнерго») обнаружили майнинг-ферму на территории садоводства в Гатчинском районе Ленинградской области.

В ходе контрольных замеров энергопотребления было выявлено, что прибор учёта в 10 раз уменьшает показатели потребления. В результате проверки совместно с правоохранительными органами в помещении контейнерного типа было обнаружено оборудование для майнинга криптовалюты, безучетно потребляющее электроэнергию. По предварительному расчету стоимость неучтенного потребления электроэнергии составила 5,6 млн рублей, она будет взыскана с владельца оборудования. Сами блоки для майнинга и неисправный прибор учета были демонтированы.

Intel выпустила технологию защиты бизнес-компьютеров от скрытого майнинга

В конце июня 2020 года компании Intel и BlackBerry объявили о выпуске на рынок совместной системы, которая позволяет защищать коммерческие ПК от скрытого майнинга. Решение получило название BlackBerry Optics и основу в виде технологии Intel Threat Detection. Подробнее здесь.

Десятки компьютеров чиновников Татарстана использовались для добычи криптовалют

В середине июня 2020 года стало известно о том, что десятки компьютеров чиновников Татарстана использовались для добычи криптовалют. Как рассказал изданию «Бизнес Online» министр цифрового развития госуправления республики Айрат Хайруллин, некоторые устройства были оснащены вирусами для скрытого майнинга, но были и случаи, когда сами госслужащие добывали криптовалюту. Нарушителей привлекли к ответственности.

По словам Хайруллина, попытки майнинга криптовалюты с начала 2020 года по середине июня были зафиксированы на 71 компьютере, принадлежащем государственным органам Татарстана. Работа по реагированию на подобные инциденты возложена на Центр мониторинга информационной безопасности (SOC / SIEM) при взаимодействии с ФСБ, ФСТЭК и МВД. Благодаря SOC число угроз безопасности снизилось с 750 в январе до 461 в мае, рассказал министр.

На 71 компьютере в госорганах Татарстана был обнаружен майнинг криптовалюты
«
Уменьшилось число «дырок» — уязвимостей государственных информационных систем, мы минимизировали возможности угроз. Провели серию pen-тестов, когда сторонние эксперты в сфере киберугроз по принципу серого ящика пытались взломать государственные информационные системы и получить к ним доступ. По итогам такой кропотливой инженерной работы мы предприняли дополнительные меры защиты, — заявил он.
»

Айрат Хайруллин также отметил, что пока нет универсального инструмента борьбы со скрытым майнингом.

«
Мы по определенным сигнатурам фиксируем, что конкретный компьютер подвергся захвату, и предпринимаем меры по предотвращению таких уязвимостей. Наша задача — чтобы из 45 тысяч персональных компьютеров, которые подключены к государственной интегрированной системе телекоммуникаций, ни один не мог быть шлюзом для атаки на государственные информационные системы, — добавил министр.
»

Ранее после неудачной попытки взлома татарстанских серверов для майнинга криптовалюты на полтора года лишения свободы был осужден хакер из Владимирской области.[6]

В Дагестане закрыли майнинговую ферму, укравшую электроэнергию на 34 млн рублей

6 июня 2020 года Министерство внутренних дел по республике Дагестан сообщило об обнаружении майнинговой фермы, которая была незаконно подключена к электрическим сетям, причинив ущерб сетевой компании в размере более 34 млн рублей.

«
Установлено, что в мае текущего года 30-летний мужчина арендовал нежилое помещение на третьем этаже действующей строительной базы в пригородном поселке Новый Хушет, где организовал майнинг-ферму для выработки лайткоинов и биткоинов, — говорится в сообщении ведомства.
»

«Россети Северный Кавказ» уличили майнера из Дагестана в хищении электроэнергии на сумму свыше 34 млн руб

Создать фермы незаконно подключился к линии электропередач, проходившей вдоль строительной базы, и подвел провода к специализированному оборудованию. Нарушитель не заключил договор энергоснабжения с гарантирующим поставщиком электроэнергии (ПАО «Дагестанская энергосбытовая компания», под управлением «Россети Северный Кавказ»), а также договор на технологическое присоединение к сетям «Дагестанской сетевой компании». 

Полицейские обнаружили в помещении комплектующие от компьютеров и 518 устройств для выработки цифровой валюты. Энергетики составили акт на бездоговорное потребление электроэнергии.

Возбуждено уголовное дело по п. «б» ч. 2 ст. 165 («Причинение имущественного ущерба путем обмана или злоупотребления доверием») УК РФ.

Сумма хищения электроэнергии в Новом Хушете — 34 млн рублей — стало за последнее время самой крупной, обнаруженной сотрудниками «Россети», говорится в сообщении холдинга компании «Россети Северный Кавказ» от 8 июня 2020 года.

К этой дате ПАО «Россети Северный Кавказ» обеспечивает передачу электроэнергии по сетям напряжением от 0,4 кВ до 110 кВ, а также осуществляет технологическое присоединение потребителей к сетевой инфраструктуре на территории Северо-Кавказского федерального округа.[7]

По курсу на 8 июня 2020 года один лайткоин стоит 3172 рубля, а биткоин – 663 706 рублей.

Подпольный майнинг нанес «Россетям» ущерб в 450 млн рублей за 3 года

Подпольный майнинг нанес «Россетям» ущерб в 450 млн рублей за три года. Об этом в конце мая 2020 года компания сообщила в своём Telegram-канале.

За 3-летний отрезок времени «Россети» в 20 регионах России выявили 35 случаев кражи электроэнергии с целью снабжения майнинг-ферм. По всем этим эпизодам привлекались правоохранительные органы для наказания лиц, занимающихся подпольным майнингом.

"Россети" оценили ущерб от хищений со стороны майнеров криптовалют
«
Именно с 2017 г. мы фиксируем попытки недобросовестных коммерсантов сократить свои затраты и повысить прибыль путем кражи электроэнергии для целей майнинга криптовалют…основные затраты на майнинг криптовалют, помимо самого оборудования, это затраты на электроэнергию, — говорится в сообщении компании.
»

Также отмечается, что с периода роста курса криптовалют «Россети» фиксируют «попытки недобросовестных коммерсантов сократить свои затраты и повысить прибыль путём кражи электроэнергии».

Так, незаконные майнинг-фермы были обнаружены в Калмыкии. Устройства нанесли ущерб энергоснабжающей компании свыше 1 млн рублей, в отношении двух подозреваемых возбуждено уголовное дело. Статья подразумевает лишение свободы на срок до пяти лет с выплатой штрафа.

Также в феврале в Чечне закрыли ферму стоимостью в 1,2 млн рублей для добычи криптовалюты, незаконно подключенную к энергосети. Оборудование было найдено после жалоб местных жителей, которые испытали проблемы с электричеством.

Несмотря на участившееся количество случаев подпольного майнинга, в «Россетях» заявили, что не будут увеличивать тарифы на электроэнергию для пользователей, которые в ночное время увеличивают нагрузку на сети и предположительно занимаются криптовалютным майнингом.

Начальник отделения «Почты России» добывал криптовалюту на рабочем месте

В конце мая 2020 года начальник отделения «Почты России» в Ставропольском крае добывал криптовалюту на рабочем месте, в результате чего в отношении него было заведено уголовное дело. Об этом сообщила пресс-служба краевого управления Следственного комитета России (СКР).

По версии следствия, экс-руководитель минераловодского филиала «Почты России» с сентября 2019 года установил и незаконно подключил к электросети почтамта компьютерное оборудование для добычи криптовалюты. В течение полугода он использовал это оборудование, а счета за электричество и интернет оплачивала «Почта России».

На Ставрополье почтовик добывал криптовалюту за счет компании

В результате «незаконных действий» подозреваемого Управлению федеральной почтовой связи Ставропольского края причинен ущерб свыше 30 тыс. руб. Как уточнили в СУ СКР по Ставропольскому краю, данное уголовное дело возбуждено по материалам УФСБ России по Ставропольскому краю и краевого Управления МВД.

К концу мая 2020 года СКР проводит следственные действия, направленные на сбор необходимой доказательственной базы. Он подозревается в злоупотреблении должностными полномочиями (ч. 1 ст. 285 УК РФ). Когда стало известно о незаконных действиях начальника почтового отделения, его уволили.

Случаев злоупотребления своих служебных положений с целью криптовалютного майнинга в России становится всё больше. По мнению Андрея Янкина, заместителя директора Центра информационной безопасности компании «Инфосистемы Джет», наиболее велик риск злоупотреблений персонала в компаниях, имеющих большие вычислительные мощности и плохо их контролирующих. Более других уязвим госсектор, государственные и окологосударственные компании, у которых богатые центры обработки данных (ЦОД) с тысячами серверов и некомпетентными администраторами.[8]

Суперкомпьютеры по всей Европе заражены вирусом для добычи криптовалют

В середине мая 2020 года стало известно о заражении вредоносным программным обеспечением для майнинга криптовалюты Monero нескольких суперкомпьютеров в Европе.

Первым об обнаружении вируса объявил Эдинбургский университет, располагающий суперкомпьютером ARCHER. По словам системных администраторов, они зафиксировали подозрительную активность на узлах входа в систему. После чего тут же приостановили доступ пользователей к суперкомпьютеру, аннулировав все существующие пароли доступа.

Хакеры взломали суперкомпьютеры в Европе для майнинга криптовалют

После того как к расследованию инцидента присоединились EPCC Systems, Cray и Государственный центр кибербезпасности, спустя 7 дней периметр безопасности ARCHER удалось восстановить, а доступ к компьютеру — вернуть.

В тот же день, когда о проблеме сообщил Эдинбургский университет, о подозрительной активности уведомила немецкая организация bwHPC, которая управляет суперкомпьютерами в районе Баден-Вюртемберг в Германии. Эксперты зафиксировали атаки на 5 систем, размещенных в Штутгартском университете, Технологическом институте Карлсруэ, Ульмском университете и Тюбингенском университете. Все эти системы были выключены.

Двумя днями позже об аналогичный инцидент произошел в Барселоне, а днем позже еще четыре — в Мюнхене, Баварии, Юлихе и Дрездене. Еще через несколько дней об атаках сообщили два суперкомпьютерных центра в Мюнхене и Швейцарии.

Ни одна из организаций не поделилась догадками, кто может стоять за атаками, и каким образом хакеры проникли в системы. Но, согласно предварительным результатам расследования специализирующейся на информационной безопасности британской компании Cado Security, хакеры воспользовались похищенными учетными данными, содержащими данные для авторизации по протоколу удаленного администрирования SSH.

По всей видимости, в руки злоумышленников попали учетные данные исследователей из университетов в Канаде, Польше и Китае, которым был предоставлен дистанционный доступ к указанным системам для проведения научных расчетов.[9]

На птицефабрике в Новгородском районе обнаружена криптоферма

30 апреля 2020 года стало известно, что в поселке Подберезье Новгородского района на неработающей птицефабрике была оборудована ферма для добычи криптовалюты. Сотрудники компании «Россети Северо-Запад» обнаружили незаконное предприятие во время проверки приборов учета электроэнергии. Причиной проверки послужил резкий рост энергопотребления птицефабрикой, которая уже полтора года находится на стадии банкротства и официально прекратила деятельность.

Когда специалисты компании «Россети Северо-Запад» пришли с проверкой, охранники предприятия под различными предлогами пытались не допустить их к электросчетчикам. В конечном итоге контролерам удалось проверить приборы учета, и, как оказалось, из девяти зарегистрированных на предприятии электросчетчиков два были выведены из строя, а на остальных имелись признаки внутреннего вмешательства и подделки пломб.

В ходе проверки специалисты также обнаружили кабели, проложенные по земле от трансформаторных подстанций к контейнерам, в которых размещались устройства для майнинга криптовалюты.

В результате деятельности криптофермы компании «Россети Северо-Запад» был причинен ущерб в размере 118 млн рублей. [10]

Львовский железнодорожник незаконно майнил криптовалюту на рабочем месте

Во Львове (Украина) состоится суд в отношении сотрудника государственной железнодорожной компании «Укрзалізниця», который обвиняется в незаконном майнинге криптовалюты на рабочем месте. Об этом стало известно 10 марта 2020 года. Как сообщают СМИ, чиновник установил в своем служебном кабинете и мастерской специальное оборудование и самовольно подключил его к электросети. За счет краденой электроэнергии мужчина добывал криптовалюту.

Майнинг

В ноябре прошлого года во львовском филиале компании «Укрзалізниця» была обнаружена майнинговая ферма, незаконно подключенная к электросетям предприятия. Как установили сотрудники правоохранительных органов, к противоправным действиям был причастен руководитель одного из подразделений львовского филиала компании «Укрзалізниця».

Криптовалюта

Незаконной деятельностью чиновник занимался в течение пяти месяцев и причинил предприятию ущерб в размере порядка 400 тыс. гривен (более 1 млн рублей). Факт хищения электроэнергии был задокументирован сотрудниками правоохранительных органов.

Действия чиновника были квалифицированы по ч.2 ст.188-1 («Хищение воды, электрической или тепловой энергии путем ее самовольного использования») Уголовного Кодекса Украины. Дело было направлено в суд для рассмотрения по существу. Бывшему сотруднику компании «Укрзалізниця» грозит наказание в виде лишения свободы на срок до трех лет. [11]

2019

38% компаний стали жертвами криптомайнеров

Специалисты из компании Check Point Software в отчете Cyber Security Report 2020 рассказали об основных инструментах, которые киберпреступники использовали для атак на компании по всему миру в 2019 году. Об этом стало известно 21 января 2020 года.

По словам экспертов, среди вредоносного ПО доминируют криптомайнеры, несмотря на тот факт, что количество криптомайнинговых атак в 2019 году сократилось. 38% компаний по всему миру стали жертвой данного вредоносного ПО. Популярность криптомайнерам обеспечивают небольшие риски и высокий доход. По результатам опроса, лишь 7% российских компании опасались криптомайнеров.

28% компаний были атакованы ботнетами, что на 50% превышает данный показатель за 2018 год. Лидером среди вредоносов благодаря своей универсальности стал Emotet.

Как отметили специалисты, количество атак на мобильные устройства снизилось — с 33% в 2018 году до 27% в 2019. По данным опроса, только 16% ИТ-экспертов в России устанавливают или планируют использовать специальное ПО для защиты мобильных устройств, а 52% респондентов считают самой эффективной мерой защиты запрет на пользование персональными смартфонами по работе.

Эксперты отметили увеличение количества предприятий, использующих облачные сервисы, — до 90%. Однако больше половины опрошенных (67%) ИБ-специалистов пожаловались на недостаточную прозрачность их облачной инфраструктуры, безопасности и несоответствия требованиям. Главной причиной атак на облачные сервисы по-прежнему остается неправильная настройка их ресурсов[12].

Злоумышленники украли 32 тыс. кВт⋅ч на сумму 81 тыс. руб у «Ингушэнерго»

30 декабря 2019 года стало известно, что владельцы недавно закрытой незаконной криптофермы в Ингушетии снова похитили у «Ингушэнерго» (филиал компании «Россети северный Кавказ») электроэнергию. На этот раз злоумышленники украли 32 тыс. кВт⋅ч на сумму 81 тыс. руб.

В октябре 2019 года в ходе плановой проверки в городе Сунжа специалисты блока технического аудита зафиксировали наброс на линию электропередачи в обход электросчетчика. Во время осмотра проблемного места было обнаружено незаконно подключенное оборудование для добычи криптовалюты. Тогда злоумышленники похитили у «Ингушэнерго» более 160 тыс. кВт⋅ч электроэнергии на сумму порядка 400 тыс. руб., что равно энергопотреблению Джейрахского района Ингушетии за две недели или месячному потреблению Ингушской республиканской клинической больницы.

В отношении владельцев криптофермы был составлен акт о безучетном потреблении электроэнергии, однако спустя некоторое время они снова незаконно подключили к электросетям оборудование для майнинга. Повторный самовольный наброс на линию электропередачи был обнаружен сотрудниками «Ингушэнерго» во время рейда по взысканию задолженности за потребленный ресурс в конце текущего месяца. Информация о факте хищения была передана в правоохранительные органы республики.

Нарушитель должен оплатить счет, значительно превышающий стоимость электроэнергии, полученной законным путем. Сумма возмещения рассчитана, исходя из максимально возможного потребления подключенного оборудования в круглосуточном режиме с момента последней проверки[13].

Российские хакеры майнят криптовалюту на веб-страницах госорганизаций

Как сообщил на пресс-конференции замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов, зараженные ресурсы госорганизаций России использовались хакерами для майнинга криптовалют. Об этом стало известно 16 декабря 2019 года.

«
Выявлены случаи майнинга криптовалюты с помощью зараженных информационных ресурсов государственных организаций. В этом случае злоумышленники заражают веб-страницы, а майнинг осуществляется в момент их просмотра в браузере,
сказал Н. Мурашов
»

«
Для генерации виртуальных монет может использоваться до 80% свободной мощности компьютера, причем легальный пользователь может даже об этом не знать,
сказал замглавы НКЦКИ
»

Мурашов отметил, что захват в целях майнинга серверов крупных компаний грозит существенным снижением их производительности и значительным ущербом для бизнеса.

«
В РФ за последнее время было два случая привлечения к уголовной ответственности лиц, которые использовали захваченные компьютеры для майнинга криптовалют. Один из них — житель Кургана, использовавший практически целую бот-сеть в различных регионах страны. Во втором случае уголовное дело было возбуждено по факту использования для майнинга сайта АО «Ростовводоканал»,
сказал Николай Мурашов[14]
»

ПО для добычи криптовалют научились скрывать в процессах на ПК

В середине декабря 2019 года исследователи кибербезопасности задокументировали использование технологии, позволяющей скрывать наличие вредоносных программ в зараженных системах. Хакеры разработали новую тактику атаки и использовали методику «затопления процессов» (халловинга), чтобы спрятать ПО для [[майнинг|майнинга\\. Антивирусы бессильны перед новой тактикой.

Исследователи Trend Micro заявили, что в течение ноября 2019 года хакеры провели организованную кампанию с использованием вредоносного ПО, используя необычный компонент-дроппер с вредоносным ПО в разных странах, включая Кувейт, Тайланд, Индию, Бангладеш, Объединенные Арабские Эмираты, Бразилию и Пакистан.

Хакеры разработали новую тактику атаки и использовали методику «затопления процессов»

Файл, внедренный в ПК жертвы, действует как средство удаления вредоносных программ и как архив, но сам по себе не является вредоносным. Этот архив содержит основной исполняемый файл и программное обеспечение для майнинга криптовалют, но делает их неактивными, что позволяет обойти защитные проверки.

Компоненту-дропперу требуется определенный набор кодов командной строки для запуска вредоносного ПО. По словам исследователей, после выполнения команды файл «не оставляет никаких следов вредоносного воздействия, которые позволили бы обнаружить или проанализировать его». Эта техника широко известна как процесс халловинга.

Чтобы избежать сканирования антивирусами, вредоносный код скрыт в каталоге без расширения. Злоумышленники могут запускать вредоносное ПО, используя определенные коды, благодаря чему вредоносное ПО распаковывается через дочерний процесс и в систему вводится майнер криптовалюты XMRig Monero. Таким образом начинается добыча криптовалюты в фоновом режиме, а вырученные средства отправляются на контролируемый злоумышленниками электронный кошелек.[15]

Check Point Research: Самые активные киберугрозы октября

28 ноября 2019 года компания Check Point Software Technologies опубликовала отчет Global Threat Index с самыми активными киберугрозами октября 2019 года. Специалисты отмечают, что криптомайнеры выбыли из первой строчки в рейтинге самого активного вредоносного ПО впервые почти за два года.

Активность криптомайнеров продолжает падать с 2018 года, когда она была на пике. Исследователи напомнили, что в январе и феврале 2018 года этот тип вредоносного ПО затронул деятельность более 50% организаций во всем мире. Через год — в январе 2019 — его активность упала до 30%, а в октябре 2019 года действия криптомайнеров затронули лишь 11% компаний в мире.

Самой активной вредоносной программой в октябре стал ботнет Emotet, который месяцем ранее занимал пятую позицию рейтинга и затрагивал 14% организаций в мире. В конце месяца ботнет распространял приуроченный к Хеллоуину спам. В теме электронных писем были поздравления («Happy Halloween») и приглашения на праздник («Halloween Party Invitation»), внутри которых содержался вредоносный файл.

«
«Влияние криптомайнеров на организации во всем мире снизилось почти на 70% в течение 2019 года. Тем не менее, в России криптомайнер Cryptoloot все еще занимает первое место в рейтинге, затронув чуть более 15% организаций»,
»

Самое активное вредоносное ПО в октябре 2019 в России: В России первое место по-прежнему занимает криптомайнер

  1. Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга — добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
  2. Emotet – продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Обновленный функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  3. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.


Самое активное вредоносное ПО в октябре 2019 в мире: Впервые за почти два года из числа самых активных вредоносных программ вышли криптомайнеры. В этом месяце Emotet занял первую строчку в рейтинге Global Threat Index, атаковав 14% организаций в мире. На втором месте оказался XMRig, атаки которого пришлись на 7% компаний в мире. Тройку опасных вредоносных программ замкнул Trickbot с охватом в 6%.

  1. Emotet – продвинутый самораспространяющийся модульный троян. Emotet когда-то был рядовым банковским трояном, а в последнее время используется для дальнейшего распространения вредоносных программ и кампаний. Новый функционал позволяет рассылать фишинговые письма, содержащие вредоносные вложения или ссылки.
  2. XMRig — программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  3. Trickbot — один из доминирующих банковских троянов, который постоянно дополняется новыми возможностями, функциями и векторами распространения. Trickbot – гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.


Самые активные мобильные угрозы октября 2019: В октябре самой распространенной мобильной угрозой стал троян Guerrilla, следом за ним в рейтинге расположились Lotor и Android Bauts.

  1. Guerilla — кликер для Android, который может взаимодействовать с сервером удаленного управления, загружать дополнительные вредоносные плагины и агрессивно накручивать клики по рекламе без согласия или ведома пользователя.
  2. Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
  3. AndroidBauts — рекламное ПО, предназначенное для пользователей Android, которое фильтрует IMEI, IMSI, местоположение GPS и другую информацию об устройстве и позволяет устанавливать сторонние приложения на мобильные устройства.


Самые распространенные уязвимости октября 2019: Самой распространенной уязвимостью октября 2019 года стала SQL-инъекция — она затронула более трети (36%) организаций по всему миру. Второе и третье место занимают ошибка HeartBleed в ПО OpenSSL TLS DTLS (33%) и удаленное выполнение кода MVPower DVR (32%) соответственно.

  1. SQL-инъекция — вставка SQL-кода во входные данные от клиента к странице с использованием уязвимости в программном обеспечении приложения.
  2. Ошибка HeartBleed в ПО OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) — в OpenSSL существует уязвимость, позволяющая раскрыть содержимое памяти на сервере или на подключенном клиенте. Уязвимость связана с ошибкой при обработке пакетов Heartbeat TLS / DTLS.
  3. Удаленное выполнение кода MVPower DVR. В устройствах MVPower DVR существует уязвимость удаленного выполнения кода. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода в уязвимом маршрутизаторе с помощью специально созданного запроса.

В Красноярске глава ТСЖ "Соседи" завел криптоферму в подвале и перевел на жильцов миллионные долги

1 ноября 2019 года стало известно, что в Красноярске в подвале дома на ул. Молокова, 15 обнаружена незаконно подключенная к общедомовой электросети ферма по майнингу криптовалюты. В результате общедомовой счетчик зафиксировал «лишнюю» электроэнергию на общую сумму 4,5 млн руб. Подробнее здесь.

Включил музыку на компьютере и начался майнинг биткоина. Как злоумышленники по-новому добывают криптовалюту

В октябре 2019 года специалисты по информационной безопасности сообщили о том, что хакеры научились помещать вредоносный код в [[1]] для добычи криптовалют.

По данным BlackBerry Cylance, киберпреступники встроили в скрытый майнер в аудиофайлы WAV. Причем файлы, в которые был внедрен майнер, воспроизводились без проблем с качеством, на некоторых из них был белый шум.

Обнаружен червь для криптоджекинга, распространяющийся с помощью контейнеров Docker

17 октября 2019 года стало известно о том, что команда исследователей из Unit 42 компании Palo Alto Networks обнаружили, по их словам, первый червь для криптоджекинга, распространяющийся с помощью контейнеров Docker. Подробнее здесь.

Сотрудник ядерного центра в Сарове получил условный срок за майнинг криптовалюты на рабочем месте

16 октября Саровский городской суд приговорил к условному сроку и штрафу сотрудника Всероссийского научно-исследовательского института экспериментальной физики (РФЯЦ-ВНИИЭФ) Андрея Шатохина, сообщили TAdviser в пресс-службе суда. В 2018 году он вместе с двумя коллегами был задержан за попытку майнинга биткоинов на рабочем месте.

По информации на сайте суда, Шатохину инкриминировали четыре преступления по трем статьям УК РФ: неправомерный доступ к компьютерной информации с использованием служебного положения (ст.272), нарушение правил хранения компьютерной информации (ст.274), использование и распространение компьютерных вирусов (ст. 273).

В пресс-службе Саровского городского суда сообщили TAdviser, что совокупно по трем инкриминируемым преступлениям Андрею Шатохину назначено 4 года лишения свободы условно с испытательным сроком, а по одному преступлению - штраф в размере 250 тыс. рублей. Приговор в законную силу еще не вступил.

В Ингушетии ликвидирована масштабная криптоферма

Неподалеку от села Плиево в Назрановском районе Республики Ингушетия обнаружена огромная криптовалютная ферма. Более полутора тысяч видеокарт располагались в здании, на котором незаконно были установлены два трансформатора мощностью 1600 кВт каждый[16].

Владелец криптофермы не платил за электричество, и служба безопасности поставщика электроэнергии обратила на это внимание. Как сообщают[17] в энергокомпании «Россети Северный Кавказ», данный случай является самым крупным хищением за последнее время - было похищено электроэнергии на 130 млн руб.

При обыске криптофермы сотрудники правоохранительных органов выявили 1651 видеокарту, два системных блока, ноутбук, видеорегистратор системы видеонаблюдения и два трансформаторных пункта. Все вышеупомянутое оборудование было конфисковано. По записям с видеокамер правоохранители надеются вычислить владельца фермы.

Решается вопрос о возбуждении уголовного дела по ст. 165 УК РФ («Причинение имущественного ущерба путем обмана или злоупотребления доверием в особо крупном размере»). Данная статья предусматривает наказание в виде штрафа и лишения свободы на срок до пяти лет.

Сотрудники Южно-Украинской АЭС майнили криптовалюту на рабочем месте

Должностные лица Южно-Украинской атомной электростанции незаконно занимались майнингом криптовалюты на рабочем месте. Как сообщается в материалах суда, с целью добычи криптовалюты в режимных помещениях АЭС несанкционированно было установлено компьютерное оборудование с подключением к интернету. В результате этих действий была разглашена информация о физической защите, составляющая государственную тайну[18].

В результате обыска, проведенного в кабинете запасных частей и оборудования в административном здании АЭС, а также в расположенной на территории АЭС военной части, сотрудники правоохранительных органов изъяли компьютерную технику. В частности были изъяты видеокарты, жесткие диски, системные блоки, блоки питания, медиа-конвертер CTC union, оптоволоконный и сетевой кабели и другие комплектующие. На изъятую технику в целях предотвращения ее порчи или уничтожения был наложен арест.

В Красноярске коммунальщики обнаружили криптомайнинговую ферму

Сотрудники службы экономической безопасности компании «КрасКом» обнаружили незаконное подключение майнинговой фермы к муниципальным электросетям для добычи криптовалюты биткойн. Предполагается, что злоумышленники подключились к электрическим сетям весной 2019 года[19][20].

Сотрудники правоохранительных органов задокументировали факт криминальной деятельности и изъяли на месте более ста единиц оборудования для добычи криптовалюты, стоимостью свыше 10 млн рублей. Оборудование преступников потребляло около 400 кВ/ч в течение двух месяцев. Компания «КрасКом» оценила нанесенный ей ущерб в более 2 млн рублей.

Злоумышленников обвиняют в преступлении, предусмотренном ч. 2 ст. 165 УК РФ (Причинение имущественного ущерба путем обмана или злоупотребления доверием), за которое им грозит до пяти лет лишения свободы.

Node.js-троян добывает криптовалюту TurtleCoin

19 июня 2019 года компания «Доктор Веб» сообщила что в ее вирусной лаборатории исследован троянец-загрузчик, написанный на JavaScript и использующий для запуска Node.js. Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin. Подробнее здесь.

Coinhive закрывается, но криптомайнинг по-прежнему доминирует

11 апреля 2019 года стало известно, что компания Check Point Software Technologies опубликовала отчет с самыми активными угрозами в марте Global Threat Index. Согласно рейтингу, несмотря на то что майнинговые сервисы, такие как Coinhive, закрываются, криптомайнеры все еще остаются самыми распространенными вредоносными программами, направленными на компании по всему миру.

Красным отмечены страны с наивысшей вредоносной активностью и наивысшими рисками, зеленым — с наименьшей вредоносной активностью и наименьшими рисками. Серым отмечены страны, по которым не достаточно данных.

Сервисы Coinhive и Authedmine прекратили работу 8 марта — и впервые с декабря 2017 года Coinhive уступил верхнюю позицию Global Threat Index. Однако, несмотря на то что криптомайнер работал в марте только в течение восьми дней, он занял шестое место среди самых активных угроз. В моменты своей самой активной работы Coinhive атаковал 23% организаций по всему миру.

Многие сайты все еще содержат JavaScript-код Coinhive, хотя майнинг ими уже не осуществляется. Исследователи Check Point предупреждают, что Coinhive может легко возобновить свою деятельность, если валюта Monero вновь покажет рост. Кроме того, воспользоваться отсутствием конкуренции со стороны Coinhive могут другие криптомайнеры — и увеличить свою активность.

Три из пяти самых активных угроз в марте — криптомайнеры Cryptoloot, XMRig и JSEcoin. Так, Cryptoloot впервые возглавил рейтинг угроз, за ним следует модульный троян Emotet. Оба атаковали около 6% компаний по всему миру. Третий по распространенности — зловред XMRig (5%).

«
С учетом общего снижения стоимость криптовалюты с 2018 года, скорее всего, все больше криптомайнеров пойдут по стопам Coinhive и прекратят свою работу. Тем не менее, я подозреваю, что киберпреступники найдут способы заработать, например, сфокусируются на майнинге в облачных средах, где встроенная функция автоматического масштабирования позволяет добывать еще больше криптовалюты. Мы видели, как организации просят заплатить сотни тысяч долларов своим облачным поставщикам за вычислительные ресурсы, незаконно используемые криптомайнерами. Так что компаниям следует как можно скорее обратить внимание на защиту облачных сред.
»

Топ-3 самых активных вредоносных ПО в марте 2019:

Стрелки показывают изменение позиции по сравнению с предыдущим месяцем.

  1. ↑ Cryptoloot — криптомайнер, который использует CPU или GPU мощности и существующие ресурсы для крипто-майнинга-добавление транзакций в блокчейн и выпуск новой валюты. Конкурент Coinhive.
  2. ↑ Emotet — продвинутый, самораспространяющийся модульный троян. Emotet когда-то использовался в качестве банковского трояна, а в последнее время используется в качестве доставки других вредоносных программ или вредоносных кампаний. Он использует несколько методов, чтобы избежать обнаружения. Также распространяется через фишинговые спам-сообщения, содержащие вредоносные вложения или ссылки.
  3. ↑ XMRig — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.


В апреле 2019 года Hiddad стал наиболее распространенным вредоносным ПО для мобильных устройств и сместил Lotoor с первого места. Троян Triada остается на третьем месте.

Самые активные мобильные угрозы марта 2019:

  1. Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.
  2. Lotoor — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
  3. Triada — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузере.


Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. CVE-2017-7269 остался на первом месте (47%). Также в тройке утечка информации через репозитории веб-сервера Git (46%) и критические уязвимости библиотеки OpenSSL TLS DTLS Heartbeat (45%).

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

2018

Только один из пяти ИТ-специалистов знает о заражении криптомайнерами

11 февраля 2019 года компания Check Point Software Technologies Ltd., поставщик решений для обеспечения кибербезопасности во всем мире, выпустила вторую часть отчета 2019 Security Report. По данным отчета, инструменты, используемые киберпреступниками, стали более демократичными, а продвинутые методы атаки теперь доступны всем, кто готов заплатить за них.

Вторая часть отчета 2019 Security Report раскрывает ключевые тренды кибератак в 2018 году и показывает значительный рост скрытых комплексных атак, предназначенных для того, чтобы оставаться вне поля зрения корпоративной безопасности. Кроме того, в отчете говорится о тех видах кибератак, которые корпоративные ИТ и специалисты по безопасности считают самой большой угрозой для своих организаций.

Криптомайнеры остаются незамеченными в сети: в 2018 году криптомайнеры поразили в 10 раз больше компаний, чем программы-вымогатели, однако только один из пяти ИТ-специалистов по безопасности знали о заражении сетей своих компаний вредоносными программами.

Организации недооценивают риск угрозы криптомайнеров: только 16% опрошенных назвали криптомайнинг самой большой угрозой организации. Это очень низкий показатель по сравнению с DDoS-атаками (их назвали 34% опрошенных), утечкой данных (53%), программами-вымогателями (54%), и фишингом (66%). Такие результаты говорят о том, что криптомайнеры могут легко оставаться незамеченными, чтобы загружать и запускать другие типы вредоносных программ.

Вредоносные программы по подписке набирают популярность: партнерская программа GandCrab Ransomware-as-a-Service доказала, что даже дилетанты теперь могут получать прибыль от кибервымогательства. Подписчики сохраняют до 60% выкупа, собранного с жертв, а разработчики программы — 40%. На февраль 2019 года у GandCrab более 80 активных «филиалов», и в течение двух месяцев 2018 года они атаковали более 50 000 жертв и потребовали от 300 000 до 600 000 долларов выкупа.

«
Вторая часть отчета Check Point 2019 Security Report показывает, насколько успешно киберпреступники исследуют скрытые методы и бизнес-модели, чтобы увеличить свои незаконные доходы и снизить риски. Однако то, что они оставались незамеченными, вовсе не означает, что их нет: хотя в течение 2018 года кибератаки были в тени, они все так же разрушительны и опасны. Мы постоянно проводим анализ текущих угроз, чтобы организации могли лучше понять риски, с которыми они сталкиваются, и как они могут предотвратить их влияние на свой бизнес.
Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ
»

Отчет безопасности Check Point 2019 Security Report основан на данных сети по борьбе с киберпреступностью ThreatCloud intelligence, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз; данных из исследований Check Point за последние 12 месяцев; и данных из последнего опроса ИТ-специалистов и руководителей высшего звена, который оценивает их готовность к совремнным угрозам. В отчете рассматриваются последние угрозы для различных отраслей и дается всесторонний обзор тенденций, наблюдаемых в области вредоносных программ, утечек данных и кибератак на государственном уроне. Он также включает анализ экспертов Check Point, помогающий организациям понять и подготовиться к сложному ландшафту угроз.

Криптомайнеры атаковали 37% компаний по всему миру

30 января 2019 года стало известно, что компания Check Point Software Technologies Ltd., поставщик решений для обеспечения кибербезопасности во всем мире, выпустила первую часть отчета 2019 Security Report. В отчете освещены основные инструменты, которые киберпреступники используют для атак на организации по всему миру, и предоставляет специалистам по кибербезопасности и руководителям компаний информацию, необходимую для защиты организаций от текущих кибератак и угроз Пятого поколения.

Отчет 2019 Security Report раскрывает основные тренды и методы вредоносного ПО, которые исследователи Check Point наблюдали в 2018 году:

  • Криптомайнеры доминируют в ландшафте угроз: криптомайнеры стабильно занимали первые четыре строчки рейтингов самых активных угроз и атаковали 37% организаций по всему миру в 2018 году. Несмотря на снижение стоимости всех криптовалют, 20% компаний продолжают подвергаться атакам криптомайнеров каждую неделю. В последнее время это вредоносное ПО заметно эволюционировало, чтобы использовать уязвимости высокого уровня и обходить песочницы и другие средства защиты, чтобы увеличить интенсивность заражения.
  • Мобильные устройства как движущаяся цель: 33% организаций по всему миру подвергались атакам мобильного вредоносного ПО, причем три основных угрозы были направлены на ОС Android. В 2018 было несколько случаев, когда мобильное вредоносное ПО было предварительно установлено на устройствах, а приложения, доступные в магазинах приложений, фактически оказались скрытым вредоносным ПО.
  • Многовекторные ботнеты запускают цепочку атак: боты были третьим наиболее распространенным типом вредоносных программ: 18% организаций были атакованы ботами, которые используются для запуска DDoS-атак и распространения других вредоносных программ. Почти половина (49%) организаций, подвергшихся DDoS-атакам в 2018 году, была заражена ботнетами.
  • Падение доли программ-вымогателей: в 2018 году использование вымогателей резко сократилось, затронув лишь 4% организаций во всем мире.

«
От стремительного роста криптомайнинга до массовых утечек данных и DDoS-атак — мы увидели полный спектр кибератак на организации за 2018 год. Злоумышленники владеют широким выбором вариантов для атак и получения прибыли от организаций в любой отрасли, и в первой части нашего ежегодного отчета мы описали все более скрытные методы, которые они используют. Эти многовекторные, быстро распространяющиеся, крупномасштабные атаки пятого поколения Gen V становятся все более и более частыми, и организациям необходимо принять многоуровневую стратегию кибербезопасности, которая не позволяет этим атакам завладеть их сетями и данными.
Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ
»

Категории кибератак в мире и по регионам

Отчет безопасности Check Point 2019 Security Report основан на данных ThreatCloud intelligence, большой совместной сетью по борьбе с киберпреступностью, которая предоставляет

  • данные об угрозах и тенденциях атак из глобальной сети датчиков угроз;
  • данные из исследовний Check Point за последние 12 месяцев;
  • данные из последнего опроса ИТ-специалистов и руководителей высшего звена, который оценивает их готовность к сегодняшним угрозам.

Университет полностью отключил свою сеть, чтобы удалить вирусы для скрытой добычи биткоина

Начавшаяся 1 ноября 2018 года кибератака на университет святого Франциска Ксаверия, расположенный в городе Антигониш (Канада), привела к тому, что заведению пришлось почти на неделю закрыть доступ к своей сети. В компьютерных системах обнаружили вредоносное программное обеспечение для скрытой добычи криптовалюты. Подробнее здесь.

Число атак скрытого майнинга растет и уменьшается вслед за колебаниями курсов криптовалют

2 ноября 2018 года стало известно, что аналитики компании Avast зафиксировали интересную тенденцию: число атак, связанных с применением вредоносного ПО для майнинга в браузере в России, растет и уменьшается вслед за колебаниями курсов Bitcoin, Monero и других криптовалют. В сентябре 2018 года криптоджекинг стал активнее — вероятно, это связано с ожидаемым ростом стоимости криптовалют к концу 2018 года. Таким образом, злоумышленники усиливают незаконный майнинг при высоком курсе на криптобиржах и ограничивают эту активность, когда курс снижается.

Вслед за уменьшением стоимости криптовалют в 2018 году уровень скрытого майнинга в России также снизился. В августе было зафиксировано всего 1,7 миллиона подобных атак. В сентябре 2018 года их число вновь возросло — до 5,1 миллиона.

Влияние курса криптовалют на скрытый майнинг
«
Между активностью попыток заражения браузеров скрытыми майнерами и стоимостью криптовалют, например, Bitcoin и Monero, действительно прослеживаются интересные параллели. Очевидно, что киберпреступники планируют свою деятельность с учетом популярности и курсов этих цифровых активов. За последние несколько месяцев число атак снизилось — как и стоимость большинства криптовалют. В сентябре 2018 года было зафиксированно небольшое усиление этой активности. Скорее всего, злоумышленники рассчитывают на взрывное подорожание криптовалют, какое было в 2017 году. Одна из причин, по которой киберпреступники усиливают атаки в период роста курсов криптовалют, заключается в том, что они тоже несут расходы. Им необходимо поддерживать собственные сайты, совершенствовать алгоритмы заражения других ресурсов, а также обслуживать командные серверы. Именно поэтому майнинг прибылен только в определенные периоды времени — например, при высоком курсе криптовалют по отношению к обычному курсу
Михал Салат (Michal Salat), директор департамента по исследованию угроз безопасности компании Avast
»

Технология обнаружения угроз Avast на базе искусственного интеллекта, составляющая основу решения Avast Free Antivirus, а также механизмы обнаружения скриптов безопасного браузера Avast Secure Browser распознают зараженные сайты и защищают пользователей Avast от атак киберпреступников.

Вредоносное ПО для криптоджекинга через браузер внедряется в код веб-страниц в виде скриптов для майнинга. Когда пользователь заходит на такой сайт, скрипт начинает использовать вычислительные мощности его компьютера для добычи криптовалют. Негативные последствия таких атак — большие счета за электроэнергию, плохая производительность устройств, снижение эффективности, а также общее сокращение срока службы компьютеров, смартфонов и смарт ТВ. Майнер запускается в браузере, поэтому заражению может подвергнуться любое устройство, в котором есть такое приложение.

Добавить вредоносный скрипт в код можно двумя способами: киберпреступники могут взломать чужой сайт или создать свой собственный ресурс для майнинга. Обычно злоумышленники добывают Monero, так как эта криптовалюта обеспечивает большую анонимность и конфиденциальность владельцев, чем Bitcoin и другие цифровые активы. Алгоритм майнинга Monero был специально разработан для использования на обычных компьютерах, в то время как для добычи валют типа Bitcoin необходимо специальное оборудование. Тем не менее, на большинство вредоносных программ предназначены для майнинга именно Monero и Bitcoin, так как готовые скрипты находятся в свободном доступе.

Киберпреступники также разрабатывают вредоносные майнеры для появляющихся криптовалют. Эта модель привлекательна тем, что после первичного размещения токенов они находятся на пике своей стоимости, и лишь затем их курс начинает снижаться. Злоумышленники почти сразу обменивают добытые с помощью незаконного майнинга появляющиеся криптовалюты на уже устоявшиеся, а затем монетизируют их в рублях или долларах США.

Атаки криптомайнеров на Apple iPhone

17 октября 2018 года компания Check Point Software Technologies Ltd., поставщик решений кибербезопасности, выпустила отчет Global Threat Index за сентябрь 2018 года. Исследователи отмечают, что количество атак майнеров криптовалюты на устройства Apple iPhone увеличилось почти на 400%. Атаки проводятся при помощи вредоносного ПО Coinhive, которое занимает верхнюю строчку в рейтинге Global Threat Index с декабря 2017 года. Подробнее здесь.

Скрытая добыча криптовалюты в цеху «АвтоВАЗа»

15 октября 2018 года стало известно, что Сотрудники службы безопасности «АвтоВАЗа» обнаружили в одном из тольяттинских цехов предприятия оборудование для скрытой добычи криптовалюты, сообщает издание «ТЛТ Правда». Ферма была спрятана в электрических шкафах 19-го зала управления конвейерами. Подробнее здесь.

Почти четверть компаний сталкивались с вредоносным ПО для криптоджекинга

20 сентября 2018 компания Fortinet представила результаты последнего всемирного исследования угроз. По данным исследования, в последнее время киберпреступники применяют более изобретательные стратегии работы с эксплойтами и действуют более оперативно. Кроме того, они добиваются максимальной эффективности своей преступной деятельности за счет использования очередных направлений атак и совершенствуют их методики при помощи итерационного подхода. Основные выводы, изложенные в отчете:

  • Целью опасного эксплойта может стать любая фирма. На сентябрь 2018 года выявленных критических угроз и атак высокой степени серьезности можно говорить о тревожной тенденции: 96% фирм по крайней мере один раз сталкивались с серьезными угрозами. Ни одна фирма в полной мере не застрахована от рисков, связанных с постоянно развивающимися атаками. Кроме того, почти четверть компаний сталкивались с вредоносным ПО, предназначенным для криптоджекинга. Для поражения более 10% корпоративных сетей использовались всего шесть разновидностей вредоносных программ. Также за прошедший квартал отделом FortiGuard Labs было выявлено 30 уязвимостей «нулевого дня».
  • Криптоджекинг начал представлять собой угрозу для бытовых устройств IoT. Киберпреступники продолжают заниматься майнингом криптовалют. В число их целей вошли устройства IoT, в том числе бытовые мультимедийные устройства. Они особенно привлекательны для злоумышленников в силу большой вычислительной мощности, которую можно направить на достижение преступных целей. Злоумышленники используют эти постоянно подключенные к сети устройства в своих интересах, загружая вредоносные программы, предназначенные для непрерывного майнинга. Кроме того, интерфейсы таких устройств используются в качестве модифицированных веб-браузеров, что усугубляет их уязвимость и способствует появлению очередных направлений атак. По мере распространения этой тенденции все большее значение для безопасности подключенных к корпоративным сетям устройств будет приобретать сегментация.
  • Тенденции в сфере разработки ботнетов свидетельствуют об изобретательности киберпреступников. Данные о тенденциях в сфере разработки ботнетов дают представление о подходах, при помощи которых злоумышленники повышают эффективность существующих атак. Очередной вариант ботнета Mirai, известный под названием WICKED, включает не менее трех эксплойтов, ориентированных на поражение уязвимых устройств IoT. Также серьезной угрозой является спонсируемая государством передовая атака VPNFilter, которая нацелена на поражение сред SCADA/ICS путем мониторинга протоколов MODBUS SCADA. Это особенно опасно, поскольку разработанная злоумышленниками технология не только извлекает данные, но и может привести к полной потере работоспособности как отдельных устройств, так и их групп. Угроза Anubis, являющаяся разновидностью угроз семейства Bankbot, оснащена рядом очередных технологий. Она поддерживает функции программы-вымогателя, клавиатурного шпиона, RAT, перехвата SMS, блокировки экрана и переадресации вызовов. В условиях появления все более изощренных, постоянно изменяющихся атак крайне важно отслеживать тенденции их развития при помощи актуальных данных об угрозах.
  • Использование злоумышленниками гибких технологий разработки вредоносного ПО. Разработчики вредоносного ПО уже давно используют свойство полиморфизма для обхода механизмов выявления атак. Как показывают тенденции 2018 года, преступники все чаще обращаются к гибким методикам разработки в целях усложнения выявления вредоносного ПО и противодействия тактикам защиты от вредоносных программ. В 2018 году было обнаружено множество версий угрозы GandCrab, и разработчики этой вредоносной программы регулярно обновляют ее. Таким образом, к числу факторов риска можно отнести не только автоматизацию атак с использованием вредоносного ПО, но и применение гибких технологий разработки, что свидетельствует о высокой квалификации злоумышленников в сфере создания более скрытных версий атак. Противодействие применяемым преступниками гибким методикам разработки требует внедрения передовых функций выявления угроз и защиты от них, при помощи которых можно устранить наиболее подверженные рискам уязвимости.
  • Эффективное поражение уязвимостей. Злоумышленники проявляют большую избирательность в выборе целей. На сентябрь 2018 года, в ходе анализа эксплойтов с точки зрения распространенности и количества случаев их выявления было обнаружено, что на практике преступники используют только 5,7% известных уязвимостей. Если подавляющее большинство уязвимостей не будет использовано, более целесообразно направить усилия на разработку превентивной стратегии устранения уязвимостей, часто становящихся проводниками атак.
  • Использование приложений в образовательных и государственных учреждениях. По результатам сравнения показателей на 2018 год использования приложений в различных отраслях можно сделать вывод, что частота использования SaaS-приложений в государственных учреждениях на 108 % превышает средний уровень. По данным на сентябрь 2018 года, по показателю общего количества ежедневно используемых приложений отрасль уступает только сфере образования: это значение на 22,5 % и 69 % выше среднего, соответственно. Вероятной причиной более высокого показателя использования приложений в этих двух отраслях является повышенная потребность в более широком разнообразии приложений. Действующие в этих сферах организации нуждаются в таком подходе к безопасности, который преодолевает разрозненность приложений, обеспечивая реализацию функций отслеживания и управления безопасностью во всех расположениях, в том числе в многооблачных средах развертывания приложений.

По информации компании, противодействие развивающимся атакам требует внедрения интегрированной системы безопасности, оснащенной функцией сбора данных об угрозах. Результаты проведенного исследования подтверждают многие из прогнозов на 2018 года, обнародованных отделом исследования угроз FortiGuard Labs. Залогом эффективной защиты от угроз является адаптивная система сетевой безопасности, охватывающая все направления атак и состоящая из интегрированных компонентов. Такой подход обеспечивает широкомасштабный сбор и оперативный обмен актуальными данными об угрозах, ускоряет их выявление и поддерживает автоматизированное принятие мер реагирования на современные атаки по разным направлениям.

Как сообщалось, в отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети датчиков с апреля по май 2018 года. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Также в отчете приведены сведения об основных уязвимостях «нулевого дня» и обзор тенденций развития инфраструктуры, благодаря которым можно выявить закономерности проведения кибератак во времени и предотвратить будущие атаки, направленные на организации.

Эксперты предупредили о новой угрозе криминального криптомайнинга

Эксперты в области кибербезопасности предупреждают об угрозе вредоносных приложений, содержащих скрытый код и способных захватить мобильные устройства для нелегального майнинга кприптовалют. Это могут быть как криптоджекинговые атаки, так и программы с троянским кодом. Несмотря на то, что интерес к криптовалютам медленно идет на спад, опасность заражения гаджетов высока. По данным «Лаборатории Касперского», количество пользователей, столкнувшихся с криминальными майнерами, в 2017–2018 гг. выросло на 44,5% по сравнению с 2016–2017 гг. Количество вредоносных объектов для мобильных устройств в первом полугодии 2018 г. увеличилось почти на 74% по сравнению с первым полугодием предыдущего года[21].

Добыча криптовалюты может принести прибыль, но при этом требует высоких первоначальных инвестиций и сопровождается серьезными затратами на электроэнергию. Это подтолкнуло хакеров к поиску альтернативных решений и, в частности, к использованию процессоров смартфонов. Вычислительная мощность мобильных телефонов, доступная злоумышленникам, относительно невелика, но таких устройств очень много и, следовательно, в общей совокупности они предоставляют большой потенциал, при этом, оставляя владельцам смартфонов расходы на электроэнергию и износ. Чаще всего для криминального майнинга мошенники используют несколько схем заражения устройств.

Киберпреступники утратили интерес к майнингу криптовалюты

Интерес киберпреступников к незаконному майнингу постепенно ослабевает в результате снижения цен на криптовалюту, следует из опубликованного MalwareBytes Labs отчета[22][23].

Согласно данным отчета, несмотря на то, что так называемый криптоджекинг (практика использования вычислительной мощности компьютера для майнинга криптовалюты без согласия или ведома владельца) остается сравнительно популярным, прослеживается тенденция к уменьшению числа инцидентов, связанных с данным методом.

«Мы не знаем, какая именно киберугроза станет наиболее популярной в следующем квартале, однако вряд ли это будет незаконный майнинг криптовалют», - отметили исследователи.

Как следует из доклада, злоумышленники теряют интерес к данному методу из-за недостаточно больших доходов. Недавнее снижение активности в основном касается обычных пользователей, в частности снизилось количество случаев обнаружения вредоносных программ для майнинга крипотвалют для ОС Windows, однако общее количество инцидентов за квартал остается сравнительно высоким.

Согласно отчету, после массового всплеска активности в конце 1-го квартала 2018 года, количество майнеров для Android-устройств также пошло на спад. При этом во втором квартале было зафиксировано почти в 2,5 раза больше случаев обнаружения майнеров для мобильных устройств.

Как утверждается в докладе, активность, связанная с сервисом Coinhive, позволяющим майнить криптовалюту в браузере пользователя, остается сравнительно высокой. Помимо этого, появляются и другие схожие сервисы, такие как Cryptoloot. По словам специалистов, злоумышленники все чаще «используют браузерные майнеры с открытым исходным кодом и адаптируют их для своих потребностей».

Китайские хакеры взломали более 1 млн компьютеров с целью майнинга криптовалюты

В июле 2018 года стало известно, что сотрудники китайской полиции арестовали 20 участников преступной группировки, взламывавшей и заражавшей компьютеры пользователей майнерами криптовалют. По данным местных СМИ, за два года злоумышленники, являвшиеся сотрудниками фирмы, специализировавшейся на компьютерных технологиях, заработали более $2 млн в криптовалюте[24].

Хакеры получали доступ к компьютерам с помощью кастомных плагинов, якобы помогающих усилить безопасность устройства или увеличить его производительность. Плагины распространялись посредством всплывающих рекламных объявлений.

Преступники предпочли добывать менее известную криптовалюту, в частности, DigiByte, Decred, Siacoin, поскольку для майнинга монет требуется меньше вычислительной мощности. Хакеры рассчитывали на то, что при задействовании менее 50% ресурсов их деятельность останется незамеченной пользователями или антивирусными решениями.

Впервые дали тюремный срок за скрытый майнинг

В начале июля 2018 года стало известно о первом случае, когда дали реальный тюремный срок за криптоджекинг.

Как пишет портал ZDNet со ссылкой на издание Kahoku, 24-летний житель Японии Йошида Шинкару (Yoshida Shinkaru) был признан виновным в незаконной добыче криптовалют при помощи компьютеров пользователей без их согласия.

Как уточняет сайт Bitcoin.com со ссылкой на анонимный источник, Шинкару задействовал скрипт для майнинга криптовалюты Monero — Coinhive, включив его в игровую чит-утилиту. Эту программу, которая была размещена в блоге майнера, загрузили лишь 90 раз, прежде чего его разоблачили.

В начале июля 2018 года стало известно о первом случае, когда дали реальный тюремный срок за криптоджекинг

Coinhive изначально использоваться в качестве рекламного инструмента и обычно встраивается в браузере, однако Шинкару использовал инструмент в виде загружаемой составляющей. Даже в этом случае доказать состав преступления не составило труда. Многие блокировщики рекламы давно отключают Coinhive от работы в браузере.

Незаконную добычу криптовалют Йошида Шинкару вел с января по февраль 2018 года и за это время смог заработать лишь 5 тыс. иен (около $45). Несмотря на маленькую сумму заработка незадачливого пользователя приговорили к году тюрьмы с отсрочкой наказания на три года. То есть, обвиненный гражданин Японии останется на свободе, но, если он нарушит условия условного наказания, он отправится за решетку на год.

Стоит сказать, что использование чит-инструментов в онлайн-играх в Японии является незаконным, поскольку они запрещены законом о противодействии недобросовестной конкуренции.

24-летний японец стал первым осужденным за использование Coinhive, что теперь может стать прецедентом. Дело в том, что в конце июня 2018 года в Японии были задержаны еще 16 человек, которые так же занимались криптоджекингом. Их подозревают во взломе сайтов и встраивании в код скомпрометированных ресурсов скриптов Coinhive.[25]

Криптомайнеры атаковали 40% организаций во всем мире

Согласно отчету lobal Threat Impact Index за май 2018 года, подготовленному компанией Check Point Software Technologies, поставщиком решений в области кибербезопасности, криптомайнер Coinhive атаковал 22% организаций. Таким образом, по сравнению с апрелем (16%) количество атак увеличилось почти на 50%.

Пятый месяц подряд рейтинг топ-10 активных зловредов Check Point Global Threat Index возглавляет криптомайнер. В мае Coinhive по-прежнему сохраняет первенство среди самых распространенных вредоносных программ. Еще один криптомайнер Cryptoloot расположился на втором месте (11%), на третьем — вредоносное рекламное ПО Roughted (8%).

Исследователи Check Point также отмечают, что киберпреступники продолжают эксплуатировать незакрытые серверные уязвимости Microsoft Windows Server 2003 (CVE-2017-7269) и Oracle WebLogic (CVE-2017-10271) для атак на корпоративные сети. В мировом масштабе 44% организаций подверглись атакам на уязвимости Microsoft Windows Server 2003, 40% — на Oracle WebLogic и 17% были подвержены влиянию внедрения SQL-кода, говорится в отчете Check Point.

В целом вредоносный криптомайнинг затронул почти 40% организаций в мае и продолжает быть самой распространенной киберугрозой, заключили эксперты компании. Очевидно, что злоумышленники считают этот метод прибыльным и эффективным.

Самыми активными зловредами в мае 2018 года названы:

  • CoinHive — криптомайнер, предназначенный для добычи криптовалюты Monero без ведома пользователя, когда тот посещает веб-сайты.
  • Cryptoloot — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.
  • Roughted — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.

В рейтинге самого активного вредоносного ПО для атак на российские организации расположились уже упомянутые криптомайнеры. Так, самыми активными зловредами стали вредоносные криптомайнеры Cryptoloot (40%) и Coinhive (36%), за ними на третьем месте расположился набор эксплоитов Rig EK (21%).

Lokibot, банковский троян для Android, который предоставляет привилегии суперпользователя для загрузки вредоносного ПО, в мае стал самым популярным вредоносным ПО, используемым для атаки на мобильные устройства организаций, за ним следуют Triada и Lotoor.

Самые активные мобильные зловреды мая 2018:

  • Lokibot — банковский троян для Android, который крадет пользовательские данные и требует за них выкуп. Зловред может заблокировать телефон, если удалить его права администратора.
  • Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам.
  • Lotoor — инструмент для взлома, который использует уязвимости в ОС Android, чтобы получить привилегии суперпользователя на взломанных мобильных устройствах.

Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. На первом месте — уязвимость CVE-2017-7269 (переполнение приемного буфера Microsoft IIS WebDAV ScStoragePathFromUrl) с глобальным охватом 46%, затем CVE-2017-10271 (удаленное выполнение кода Oracle WebLogic WLS) — 40%, на третьем месте — уязвимость типа «внедрение SQL-кода», затрагивающая 16% организаций во всем мире.

Приложения со скрытыми майнерами в Google Play загрузили сотни тысяч раз

В начале апреля 2018 года антивирусная компания «Лаборатория Касперского» сообщила о присутствии в каталоге Google Play приложений, которые втайне от пользователей добывают криптовалюту. Некоторых из таких программ загрузили более 100 тыс. раз, сообщает издание ZDNet.

Среди приложений со встроенными криптовалютными майнерами — игры, VPN-сервисы и программа для вещания спортивных трансляций.

В Google Play обнаружили приложения со скрытыми майнерами

Одно из таких приложений — PlacarTV с встроенным в майнером Coinhive, добывающим криптовалюту Monero, — было скачана с Google Play более 100 тыс. раз. PlacarTV удалили из магазина только после того, как эксперты «Лаборатории Касперского» указали на ее опасность.

Однако не все такие нежелательные программы быстро удаляются из Google Play. Так, приложение для создания VPN-соединения Vilny.net, в которое, по данным «Лаборатории Касперского», тоже встроен майнер, по-прежнему доступно для скачивания к моменту написания статьи.

Интересно, что оно Vilny.net уровень заряда устройства и его температуру — таким образом риск обнаружения снижается до минимума. Приложение скачивает исполняемый файл майнера с сервера и запускает его в фоновом режиме. Vilny.net скачали более 50 тыс. раз, большая часть загрузок пришлась на Россию и Украину.

Особую опасность обнаруженных криптомайнеров эксперты объясняют тем, что программы действительно выполняют заявленные в описании полезные функции, а потому работу скрытого модуля сложно заметить. Например, майнеры оказались встроены в программы, предназначенные, судя по официальному описанию, для просмотра футбола.

Чтобы не стать жертвой незаконного майнинга, в «Лаборатории Касперского» рекомендуют выполнять следующее: обращать внимание на беспричинную разрядку или сильное нагревание устройства, проверять репутацию разработчиков перед загрузкой программы и пользоваться антивирусом.[26]

42% компаний во всем мире пострадали от криптомайнинга

Согласно данным Check Point Software Technologies, поставщика решений в области кибербезопасности, от незаконной добычи криптовалюты в феврале 2018 года пострадало 42% компаний во всем мире. Информация об этом содержится в отчете Global Threat Impact Index.

Исследователи Check Point выявили три различных варианта вредоносных криптомайнеров, которые вошли в топ-10 активных зловредов. Первое место рейтинга сохраняет CoinHive, который атаковал каждую пятую организацию в мире. На второе место поднялся Cryptoloot, в феврале вредоносный майнер атаковал вдвое больше компаний, чем в предыдущем месяце. По данным Check Point, в январе от Cryptoloot пострадало 7% организаций, а в феврале — уже 16%. Следом за криптомайнерами расположился набор эксплойтов Rig EK, который занял третье место рейтинга благодаря атакам на 15% компаний мира.

«
На протяжении последних четырех месяцев мы видим заметный рост распространения криптомайнеров. Эта постоянная угроза значительно замедляет работу ПК и серверов, — отметила Майя Горовиц, руководитель группы Threat Intelligence, Check Point Software Technologies. — Однажды проникнув в сеть, криптомайнеры могут также быть использованы для выполнения других злонамеренных действий. Именно поэтому компаниям как никогда важно применять многоуровневую стратегию кибербезопасности, которая защитит от известных зловредов и отметит новые угрозы.
»

По данным Check Point, в феврале 2018 количество атак на российские компании сохранилось на прежнем уровне. Россия заняла в рейтинге Global Threat Index 73 место, при этом в топ-3 активных зловреда, атакующих российские организации, также вошли Coinhive и Cryptoloot.

Больше всего в феврале атакам подверглись Ботсвана, Камерун и Новая Каледония. Меньше всего атаковали Лихтенштейн, Гернси и Киргизстан.

Самыми активными мобильными зловредами февраля 2018 года стали:

  • Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам.
  • Lokibot — банковский троян для Android, который крадет пользовательские данные и требует за них выкуп. Зловред может заблокировать телефон, если удалить его права администратора.
  • Hiddad — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей.

Специалисты Check Point отметили на карте уровень киберугроз по странам (зеленый — низкий уровень риска; красный — высокий; белый — недостаточно данных):

ThreatCloud Map

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud содержит более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов.

Хакеры будут майнить с помощью бытовой техники

Эксперты американской аналитической компании Stratfor пришли к выводу, что хакеры смогут в будущем использовать «умный дом» для добычи криптовалюты, сообщают в феврале 2018 года «Известия»[27].

Опасность грозит всем устройствам, входящим в систему «умного дома». Предположительно хакеры смогут майнить посредством прямой атаки или же заражением техники вирусом.

«Взломщики смогут подключаться к любому устройству, будь то осветительный прибор или посудомоечная машина: таким образом у хакеров появляется центральный узел, на который они и будут направлять свою атаку», – заявил вице-президент компании Скотт Стюарт.

Также аналитики считают, что взломщиков будут первочерёдно интересовать программные ассистенты, поскольку у них есть полный доступ к технике пользователя.

Основная статья Умный дом

От криптомайнеров пострадала каждая пятая компания

Согласно отчету Check Point Software Technologies Global Threat Intelligence Trends за второе полугодие (июль – декабрь) 2017 года, киберпреступники все чаще используют криптомайнеры, а организации по всему миру продолжают подвергаться атакам программ-вымогателей и вредоносных рекламных программ. Так, по данным исследователей, за период с июля по декабрь 2017 года. от незаконного майнинга криптовалюты пострадала каждая пятая компания. С помощью этого вредоносного ПО киберпреступники получают доступ к ресурсам центрального процессора или видеокарты на ПК жертвы и используют их для добычи криптовалют. Уровень потребления может достигать 65% мощности ЦП.

Ключевые тренды киберугроз:

  • Ажиотаж вокруг майнинга криптовалюты.
    • Программы-криптомайнеры чаще всего используются для майнинга криптовалюты в личных целях. Однако из-за растущего внимания общества к виртуальным деньгам процесс майнинга, который напрямую зависит от числа владельцев криптовалют, затормозился. В результате для майнинга требуется намного больше вычислительной мощности, что побуждает хакеров придумывать новые способы незаконного использования ресурсов.

  • Эксплойты теряют популярность.

    • Еще год назад эксплоит-киты были одним из главных векторов атак. Однако в 2017 году они применялись значительно реже, потому что платформы и программы, которые уже становились жертвами эксплойтов, улучшили свою защиту. «Срок годности» новых эксплойтов сокращается и благодаря оперативным совместным действиям вендоров по безопасности и разработчиков софта и автоматическим обновлениям ПО.

  • Рост мошенничества и вредоносного спама.

    • В течение 2017 года соотношение между зловредами, которые используют протоколы HTTP и STMP, сместилось в сторону SMTP. Объем таких атак вырос с 55% в первом полугодии до 62% во втором. Популярность этих методов распространения привлекла внимание опытных хакеров. Они применяют свои умения для взлома документов, в особенности Microsoft Office.

  • Мобильное вредоносное ПО вышло на уровень предприятий.

    • В течение 2017 года фиксировались атаки на компании, источниками которых стали мобильные устройства. Так, смартфоны и планшеты, зараженные зловредом MilkyDoor, использовались в качестве серверов-посредников для сбора конфиденциальных данных из корпоративной сети. Еще один пример мобильных угроз — вредоносное ПО Switcher, которое пытается взломать элементы сети (например, маршрутизаторы) и перенаправить трафик на подконтрольный хакерам сервер.

Среди других тенденций киберугроз в Check Point отметили также следующие:

  • программы-вымогатели, появившиеся еще в 2016 году, остаются серьезной угрозой. Их используют как для масштабных атак по всему миру, так и для целевых нападений на конкретные организации.
  • 25% взломов за отмеченный период были сделаны через уязвимости, обнаруженные более десяти лет назад.
  • Менее 20% атак проводились через бреши в защите, которые известны около двух лет.

Топ-3 вредоносного ПО

  1. Roughted (15,3%) — масштабная кампания вредоносной рекламы, которая используется для распространения зловредных сайтов, эксплойт-китов и вымогателей. Она может использоваться для атаки на платформы любого типа и любой ОС, а также способна противостоять блокировщикам рекламы, чтобы обеспечить наиболее широкий охват.
  2. Coinhive (8,3%) — программа-криптомайнер, разработанная для онлайн-майнинга криптовалюты Monero без ведома пользователя при посещении им определенных сайтов. Зловред Coinhive появился только в сентябре 2017 года, но уже успел заразить 12% организаций по всему миру.
  3. Locky (7,9%) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.


Топ-3 программ-вымогателей

  1. Locky (30%) — вымогатель, который появился в феврале 2016 года, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, который затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.
  2. Globeimposter (26%) — вымогатель, замаскированный под шифровальщик Globe ransomware. Был обнаружен в мае 2017 года и распространялся с помощью спам-кампаний, вредоносной рекламы и эксплойт-китов. После шифрования программа добавляет расширение .crypt к каждому зашифрованному файлу.
  3. WannaCry (15%) — вымогатель, который получила широкое распространение во время крупномасштабной атаки в мае 2017 года. Он распространяется по сетям с помощью эксплоита для блока серверных сообщений (SMB) Windows под названием EternalBlue.


Топ-3 мобильных зловредов

  1. Hidad (55%) — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
  2. Triada (8%) — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, чтобы они могли внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
  3. Lotoor (8%) — инструмент взлома, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.


Топ-3 вредоносного ПО для банков

  1. Ramnit 34% — банковский троян, который похищает данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.
  2. Zeus 22% — троян, который атакует устройства на платформе Windows и часто используется для кражи банковской информации с помощью технологий типа «человек-в-браузере» — кейлоггинга и захвата содержимого форм.
  3. Tinba 16% — банковский троян, который похищает данные учетных записей пользователя с помощью веб-инъекций. Они активируются, когда пользователь пытается зайти на сайт своего банка.

Вирус-майнер WannaMine

На смену вирусу-вымогателю WannaCry, который активно паразитировал в 2017 году, пришёл обновлённый вирус-майнер WannaMine, сообщает «Газета.ру».

Он тоже успешно занимается незаконной добычей криптовалюты за счет чужих компьютерных мощностей. WannaMine, как и предшественник WannaCry, был создан на основе базы эксплойта EternalBlue. Эта программа, находящая уязвимости в программном обеспечении, была также «создателем» и вируса Petya. Считается, что EternalBlue создали в Агентстве национальной безопасности США. Вирус поражает ПК пользователей с целью скрытого майнинга виртуальной валюты Monero.

Существует множество способов заражения: WannaMine может попасть на устройство через устанавливаемый файл или же прямой атакой на ПК. Далее вирус использует инструмент Mimikatz для получения данных. Если взломать систему не получается, вирус задействует пресловутый эксплойт. Если компьютер связан локальной или корпоративной сетью с другой техникой, то WannaMine использует эту возможность для заражения других ПК.

Помимо того, что вирус незаконно майнит, он сильно понижает работоспособность техники. Следует отметить, что антивирусы его не выявляют и, тем более, не устраняют его. Если же вирус получилось обнаружить, единственный верный способ избавиться от него: создать резервную копию всех данных, форматировать накопитель, а потом переустановить операционную систему и программы.

В YouTube нашли скрытые майнеры криптовалюты

Криптовалюту научились добывать даже на самом популярном видеохостинге YouTube, сообщило издание Arstechnica[28].

Добыча криптовалюты за счет мощностей чужих компьютеров осуществляется с помощью рекламы. Программисты встраивают специальный код в рекламные сообщения через платформу DoubleClick от компании Google, добывать же валюту позволяя с помощью сервиса CoinHive.

Когда пользователи просматривают ролик с данным вредоносным кодом, мошенники добывают за их счет криптовалюту Monero. В свою очередь, эти пользователи получают большую нагрузку на свои компьютеры.

Обнаружить данную схему удалось обычным пользователям с помощью антивирусной программы Avast. После этого Google заблокировала доступ к соответствующим рекламным объявлениям.

Check Point: криптомайнеры атаковали 55% компаний в мире

Компания Check Point зафиксировала в декабре резкий рост распространения вредоносного ПО для майнинга криптовалюты. Исследователи Check Point обнаружили, что в декабре криптомайнеры атаковали 55% компаний во всем мире. При этом 10 разновидностей этого вредоносного ПО попали в топ-100 самых активных киберугроз, а два из них вошли в тройку лидеров. Используя криптомайнеры злоумышленники захватывают контроль над центральным процессором или видеокартой и используют их ресурсы для добычи криптовалюты.

Check Point обнаружил, что вредоносное ПО для майнинга криптовалюты целенаправленно внедрялось в популярные веб-сайты без ведома пользователей, большинство таких сайтов — это сервисы стриминговых медиа и файлообменники. Хотя в основном такие сервисы являются легальными, их можно взломать, чтобы генерировать больше мощности и получать доход, используя до 65% ресурсов ЦП пользователя.

«Пользователи все чаще используют ПО для блокировки рекламы, поэтому веб-сайты стали использовать ПО для майнинга криптовалюты в качестве альтернативного источника дохода, — отмечает Майя Хоровиц, руководитель группы Threat Intelligence компании Check Point Software Technologies. — К сожалению, зачастую это происходит без ведома пользователей, чьи процессоры используются для криптомайнинга. Вероятно, мы будем наблюдать, как эта тенденция возрастет в ближайшие несколько месяцев».

В декабре ПО для майнинга криптовалюты CoinHive сместило с лидирующей позиции вредоносную рекламу RoughTed, в то время как набор эксплойтов Rig ek сохранил второе место рейтинга. Новый криптомайнер Cryptoloot замкнул тройку самых активных зловредов декабря, впервые войдя в топ-10.

Эксперты Check Point выявили ключевые тренды киберугроз во втором полугодии 2017:

  • Ажиотаж вокруг майнинга криптовалюты. Программы-криптомайнеры чаще всего используются для майнинга криптовалюты в личных целях. Однако из-за растущего внимания общества к виртуальным деньгам процесс майнинга, который напрямую зависит от числа владельцев криптовалют, затормозился. В результате для майнинга требуется намного больше вычислительной мощности, что побуждает хакеров придумывать новые способы незаконного использования ресурсов.
  • Эксплойты теряют популярность. Еще год назад эксплоит-киты были одним из главных векторов атак. Однако в 2017 г. они применялись значительно реже, потому что платформы и программы, которые уже становились жертвами эксплойтов, улучшили свою защиту. «Срок годности» новых эксплойтов сокращается и благодаря оперативным совместным действиям вендоров по безопасности и разработчиков софта и автоматическим обновлениям ПО.
  • Рост мошенничества и вредоносного спама. В течение 2017 года соотношение между зловредами, которые используют протоколы HTTP и SMTP, сместилось в сторону SMTP. Объем таких атак вырос с 55% в первом полугодии до 62% во втором. Популярность этих методов распространения привлекла внимание опытных хакеров, владеющих более совершенными практиками взлома. Они применяют свои умения для взлома документов, в особенности Microsoft Office.
  • Мобильное вредоносное ПО вышло на уровень предприятий. В течение прошлого года мы видели атаки на компании, источниками которых стали мобильные устройства. Так, смартфоны и планшеты, зараженные зловредом MilkyDoor, использовались в качестве серверов-посредников для сбора конфиденциальных данных из корпоративной сети. Еще один пример мобильных угроз — вредоносное ПО Switcher, которое пытается взломать элементы сети (например, маршрутизаторы) и перенаправить трафик на подконтрольный хакерам сервер.

Сайт Минздрава Сахалина использовался для добычи криптовалюты за счет ресурсов посетителей

На сайте электронной регистратуры, через которую можно записаться в ряд лечебных учреждений на Сахалине, неопределенное время работал скрипт, добывающий криптовалюту с помощью ресурсов компьютеров посетителей этого ресурса. Такое открытие сделал один из пользователей новостного и сервисного портала Сахалина и Курил sakh.com[29].

После обращения этого пользователя в региональный минздрав скрипт с сайта был удален. «Сколько пользователей "пожертвовали" свои ресурсы ради обогащения предприимчивого системного администратора регистратуры или неизвестного злоумышленника, не установлено», — сообщает новостной ресурс sakh.com — sakhalin.info.

«
«На сайт был внедрен JavaScript-файл. Он работал, только пока у пользователя была открыта вкладка с сайтом, никакого влияния на устройство после отключения от портала не оказывал», — рассказал один из программистов Sakh.com.
»

По мнению его коллег, вероятнее всего вредоносный код добывал криптовалюту monero — электронных монет с нетрадиционной криптографией для обеспечения повышенной анонимности пользователей.

2017

ФСБ арестовала сисадмина аэропорта «Внуково» за майнинг криптовалюты

Сотрудниками Федеральной службы безопасности в декабре 2017 года проведены обыски в Московском центре управления воздушным движением в аэропорту «Внуково». Поводом к этому стало обращение руководителей центра в правоохранительные органы с жалобой на постоянные скачки напряжения.

В ходе обыска сотрудники ФСБ выяснили, что их причиной стало создание одним из системных администраторов фермы для майнинга криптовалюты, которая была подключена к электрической сети аэропорта. Сотрудник аэропорта задержан ФСБ, расследование продолжается, сообщил телеграм-канал Mash, сославшийся на собственные источники.

Также в декабре 2017 года попытках майнинга криптовалюты в «Транснефти» сообщил экс-министр внутренних дел, вице-президент этой компании Владимир Рушайло. Выступая на экспертном совете компании по кибербезопасности, он заметил, что это могло помешать технологическим процессам компании.

Мессенджер Facebook использовали для майнинга

Неизвестные хакеры взломали мессенджер популярной социальной сети и запустили в его программе вирус для майнинга, сообщает портал Coinspot[30].

Специалисты из TrendLabs, заведующие кибербезопасностью, обнаружили новый вирус. Этот вирус, бот-майнер, активизируется при использовании Facebook Messenger. Используя ресурсы гаджета, виртуальный майнер качает криптовалюту Monero. Ему уже дали название – Digmine.

Digmine содержится только в десктопной версии Messenger, в файле «video_xxxx.zip». Сразу же при открытии приложения вирус докачивает необходимые для майнинга компоненты, а после начинает добывать виртуальную валюту. Но на этом ничего не заканчивается: кибервирус также устанавливает в браузере Chrome нужное расширение, благодаря которому получает доступ к данным в Facebook, затем он передаётся дальше по интернету.

Изначально Digmine был обнаружен в Южной Корее, затем он появился и в других странах: Азербайджане, Украине, Вьетнаме, Филиппинах, Таиланде и Венесуэле. Скорость распространения вредоносного ПО очень большая, и эксперты считают, что в скором времени бот обнаружит себя и в других странах. Само заражение совершается через ссылки на видеофайлы в браузере Google Chrome и в приложение Facebook Messenger.

Добыча биткоинов сотрудниками правительстве Крыма

Два сотрудника Совета министров Крыма поплатились своими должностями за установку программного обеспечения для майнинга биткоинов на сервер правительства. Об этом на пресс-конференции в Севастополе в сентябре 2017 года сообщил руководитель комитета по противодействию коррупции Крыма Александр Акшатин[31].

Глава комитета пояснил, что речь идет о двух специалистах, работавших в ИТ-подразделении. По словам Акшатина, также они поставили на сервер крымского правительства вредоносное программное обеспечение, которое открывало доступ к хранящейся на нем информации. Параллельно в подвале здания было запущено более десятка компьютеров, которые давали этот доступ.

Глава комитета отметил, что злоумышленникам удалось заработать немного. «Точно не могу сказать, но меньше одного биткоина. Тогда [в феврале—марте 2017 года] биткоин был $1800, сейчас он стоит $4000. Если даже полбиткоина — это какие-то деньги», — заметил Акшатин, подчеркнув, что обналичить криптовалюту уволенные не успели.

В Opera появится функция защиты от майнеров криптовалюты

Opera станет первым браузером, в котором будет реализована защита от майнеров, встроенных в сайты и использующих мощности компьютеров пользователей для добычи криптовалюты. Функция под названием NoCoin находится на конец 2017 года на стадии разработки, сообщает Bleeping Computer. Она включена в Opera 50 Beta RC и должна появиться в стабильной версии Opera 50, которая выйдет в январе 2018 года.

Основная статья Opera веб-браузер

Starbucks обвиняют в незаконном майнинге

Известная мировая сеть кофеен Starbucks была замечена в неприятном инциденте с криптовалютами. Выяснилось, что в столице Аргентины Буэнос-Айресе провайдер кофейни использовал Wi-Fi заведения для майнинга. При подключении к бесплатному интернету в технике клиентов активировался код CoinHive, предназначенный для добычи криптовалюты, сообщает Cointelegraph[32].

На это обратил внимание глава разработчика сервиса корпоративной почты Stensul Ноа Динкин. Во время посещения кафе он заметил десятисекундную задержку при подключении ноутбука. При выяснении причины маленькой проблемы, он выявил специальный скрипт-код, который используется для майнинга криптовалюты Monero.

Спустя некоторое время представитель сети заверил пользователей, что в компании уже разобрались с этой проблемой, выйдя на связь со своим интернет-провайдером, и теперь клиенты могут спокойно подключаться к интернету, не боясь, что их технику будут как-либо использовать. Также представитель Starbucks подчеркнул, что данная проблема касалась только сети в Буэнос-Айресе, а в кофейнях других городов и других стран такого не происходило.

На официальном сайте D-Link обнаружен майнер криптовалюты

Исследователи безопасности из компании Seekurity обнаружили на сайте D-Link (dlinkmea[.]com) Javascript-майнер, позволяющий добывать криптовалюту Monero[33][34].

Исследователям стало известно о проблеме после того, как пользователь соцсети Facebook Ахмед Самир (Ahmed Samir) сообщил, что во время посещения сайта нагрузка на центральный процессор резко возросла. При каждом открытии страницы загружался отдельный домен со скрытым элементом iframe, содержащий скрипт, позволяющий майнить криптовалюту прямо в браузере пользователя.

После того, как исследователи уведомили D-Link об инциденте, компания полностью отключила web-сайт и начала перенаправлять пользователей на американскую версию ресурса (us.dlink.com). По словам исследователей, полное отключение сайта вместо удаления одной строки кода со скрытым элементом iframe может свидетельствовать о кибератаке на портал D-Link.

В Google Chrome может появиться защита от криптомайнеров

Инженеры Google рассматривают возможность добавления в браузер Google Chrome специальных инструментов, которые будут препятствовать майнингу криптовалюты.

Дискуссии на тему программ-майнеров, встроенных в сайты и работающих прямо в браузере, в компании ведутся с середины сентября 2017 года, когда был запущен первый проект такого рода - Coinhive[35].

Как сообщил один из разработчиков Chrome Ойан Вафай (Ojan Vafai), противостоять скрытым майнерам предлагается[36] по следующей схеме: если сайт использует больше чем X% процессорных мощностей в течение Y секунд, то такая страница будет переведена в «энергосберегающий режим», в котором активность всех подозрительных процессов будет жестко ограничена. Затем на экране отобразится всплывающее уведомление, позволяющее пользователю отключить данный режим. Если вкладка, находящаяся в «энергосберегающем режиме» неактивна, то выполнение процессов полностью прекращается.

Применение данного метода пока находится на стадии обсуждения и официально не одобрено Google. Как заявили представители компании, на данный момент нет возможности заблокировать встроенные в сайты майнеры полностью, поскольку разработчики ПО для майнинга могут с легкостью модифицировать код для обхода блокировки. Пока для блокировки работы криптомайнеров пользователи могут установить расширения наподобие AntiMiner, No Coin и minerBlock.

500 млн компьютеров используются для тайного майнинга криптовалюты

Торрент-трекер The Pirate Bay был уличен в тайном майнинге криптовалюты за счет пользователей и, судя по всему, его примеру последовали сотни других ресурсов. По данным экспертов Adguard[37], 2,2% сайтов из рейтинга ТОП-100000 Alexa переняли практику и теперь применяют различные майнеры, предназначенные для использования мощностей центральных процессоров компьютеров для добычи криптовалюты[38].

Наиболее распространенными майнерами криптовалюты являются CoinHive и JSEcoin.

В общей сложности исследователи обнаружили 220 сайтов, запускающих процесс майнинга в момент, когда пользователь открывает главную страницу ресурса. Суммарно аудитория данных сайтов составляет примерно 500 млн пользователей. По оценкам Adguard, данные домены всего за три недели заработали порядка $43 тыс. без каких-либо затрат. Наибольшее число сайтов-«майнеров» зафиксировано в США (18,66%), Индии (13,4%), России (12,44%) и Бразилии (8,13%).

В основном в числе сайтов, добывающих криптовалюту за счет пользователей, торрент-трекеры, пиратские ресурсы, сайты «для взрослых» и т.п. Подобные сомнительные ресурсы, как правило, не получают большого заработка от рекламы, поэтому они открыты для экспериментов и инноваций, поясняется в исследовании Adguard. Отметим, что иногда майнеры используются и на «белых» ресурсах – в конце сентября в подобной практике уличили сайты компании Showtime. К слову, 11 сентября пиратский ресурс The Pirate Bay вновь добавил код CoinHive, но отключить его уже нельзя. Как подсчитали специалисты, при условии, что администрация ресурса не будет отключать майнер, в месяц The Pirate Bay сможет зарабатывать примерно $12 тыс.

Постепенно антивирусы и блокировщики рекламы начинают блокировать скрипты криптомайнеров. При этом обычно пользователю предоставляется выбор - блокировать майнер или же разрешить ему работать.

Расширение для Google Chrome тайно майнит криптовалюту

В коде популярного расширения SafeBrowse (версия 3.2.25) для браузера Google Chrome в сентябре 2017 года обнаружен скрипт JavaScript, заставлявший браузеры пользователей майнить криптовалюту. Странное поведение расширения не осталось незамеченным, поскольку нагрузка на центральный процессор возрастала, что значительно влияло на производительность «инфицированного» компьютера[39].

В исходном коде расширения был обнаружен встроенный майнер Coinhive JavaScript Miner – браузерная версия алгоритма CryptoNight, используемого Monero, Dashcoin, DarkNetCoin и прочими криптовалютами. В настоящее время Coinhive JavaScript Miner поддерживает только майнинг Monero.

Данная проблема затрагивает практически всех пользователей, установивших SafeBrowse. Как выяснилось, сами разработчики SafeBrowse не подозревали о его странном поведении. По их словам, программа не обновлялась несколько месяцев, в связи с чем, они высказали предположение, что речь идет о взломе. Авторы SafeBrowse разбираются в ситуации совместно с командой Google.

Майнинг криптовалют вместо рекламы в интернете

В сентябре 2017 года стало известно о тестировании сайтами нового способа монетизации вместо традиционной рекламы. Речь идет о добыче (майнинге) криптовалют.

Один из крупнейших в мире торрент-трекеров Pirate Bay начал использовать компьютеры своих посетителей для добычи криптовалюты Monero. Скрытый код был использован на некоторых веб-страницах портала в качестве альтернативы распространению рекламы. Скрипт автоматически запускается при открытии страницы и использует мощности компьютера посетителя для добычи криптовалюты.

Скриншот страницы Pirate Bay
«
Как вы могли заметить, мы тестируем JavaScript для майнинга Monero. Это только тест. Мы действительно хотим избавиться от рекламы. Но также нам нужно достаточно денег, чтобы сайт продолжал функционировать, — говорится в блоге Pirate Bay.
»

Администрация сайта поясняет, что включение криптовалютного скрипта является экспериментом, цель которого — выяснить, сможет ли трекер получать достаточно прибыли без использования онлайн-рекламы. К 21 сентября 2017 года курс одной единицы Monero составляет около $94.

Эксперимент Pirate Bay начался без предупреждения пользователей. Порталу пришлось сделать официальное заявление после многочисленных жалоб посетителей сайта на высокую загрузку процессора во время визита на торрент-трекер. Некоторые пользователи заметили, что в коде сайта появился JavaScript-майнер, который и вызывал высокую нагрузку на компьютеры. 

Позже представители ресурса заявили, что высокая нагрузка на компьютеры вызвана технической недоработкой, и пообещали, что в будущем скрипт будет использовать не более 20-30% мощностей ПК и работать только в одной вкладке браузера. По словам представителей Pirate Bay, сайт может полностью отказаться от традиционной рекламы в пользу добытчиков криптовалюты.[40]

Данные «Лаборатории Касперского» по распространению

Число атак хакеров, связанных с криптовалютными вредоносами, выросло на 50% в 2017 г. Такие данные приводит в своем исследовании «Лаборатория Касперского». Число пострадавших пользователей составила 2,7 млн человек против 1,9 млн годом ранее[41].

При этом отдельные группировки взломщиков зарабатывали на этом миллионы. Основными способами распространения майнеров стали потенциально нежелательные приложения, распространяемые через партнерские программы, а также выполняемые в браузере скрипты, наподобие Coinhive. Только этот скрипт программы «Лаборатории» блокировали более 70 млн раз.

Многие группы взломщиков ради увеличения прибыли атакуют не только простых пользователей, но и крупный бизнес, который привлекателен из-за наличия большей вычислительной мощности. Например, майнер Wannamine был распространен с помощью эксплойта EternalBlue во внутренних сетях ряда компаний, принеся своим создателям более $2 млн. На майнерах-ботнетах киберпреступники заработали более $7 млн во второй половине 2017 г, прибыль одной из групп составила $5 млн.


В сентябре 2017 года эксперты «Лаборатории Касперского» установили, что на сегодняшний день более 1,65 млн персональных компьютеров и других эндпойнтов заражены так называемыми майнерами криптовалют. [42]

За последние четыре года количество инцидентов с троянцами-майнерами выросло более чем в восемь раз. Пик пришелся на 2016 год, когда эксперты насчитали более 1,8 млн заражений.

В мире наблюдается эпидемия троянцев-майнеров криптовалют

Чаще всего троянцы-майнеры занимаются генерацией двух видов валют - Zcash и Monero. Поскольку обе эти разновидности криптовалюты поддерживают анонимные транзакции, они пользуются особым расположением у киберпреступников. Валюта Zcash появилась на свет только в конце 2016 года, но уже успела снискать изрядную популярность.

Сразу несколько крупных операций были отмечены в течение 2017 года.

  • В январе майнер Monero начала распространяться с помощью набора эксплойтов Terror Exploit Kit
  • Майнер малоизвестной валюты Adylkuzz распространялся с помощью эксплойта АНБ EternalBlue
  • Ботнет Bondnet распространил криптомайнер Monero на 15 тысячах машин, преимущественно серверах под управлением Windows Server.
  • Вредоносная программа Linux.MulDrop.14 занимается генерацией криптовалют на незащищенныъ устройствах Raspberry Pi с доступом в Сеть.
  • Эксплойт SambaCry использовался для распространения майнера EternalMiner на серверах Linux.
  • Майнер Trojan.BtcMine.1259 использовал еще один эксплойт АНБ - DoublePulsar - для заражения компьютеров под Windows.
  • Кампания CoinMiner использовала эксплойты EternalBlue и WMI для заражения жертв.
  • Ряд серверов Amazon S3 пали жертвой троянца Zminer.
  • Группировка CodeFork использовала бесфайловые вредоносы для распространения майнера Monero.
  • Группировка Hiking Club распространяла майнеры Monero через набор эксплойтов Neptune Exploit Kit.
  • Чит для игры Counter-Strike: Global Offensive заражал пользователей MacOS майнером для Monero.
  • Банковский троянец Jimmy обзавелся функциональностью майнера;

«
Причина столь рьяного распространения майнеров предельно проста, — отмечает Олег Галушкин, эксперт по безопасности компании SEC Consult Services. — Cейчас наблюдается бум криптовалют, их курсы относительно валют традиционных взлетели до небес, и киберзлоумышленники видят в этом хороший способ обогащения. В действительности же они сами стреляют себе в ногу, приближая момент краха криптовалют как явления. Впрочем, любой криминал «быстрые деньги» интересуют больше, чем возможные стратегические последствия.
»

Стоит отметить, что помимо вышеперечисленных крупных операций постоянно наблюдается множество менее масштабных предприятий по распространению криптомайнеров, и в целом есть все основания говорить о полновесной эпидемии.

Эксперты сообщили о росте киберпреступлений для майнинга в России

Компания "Kaspersky (ранее Лаборатория Касперского)" выявила летом 2017 года несколько крупных бот-сетей из тысяч зараженных компьютеров для использования при добыче криптовалют - так называемом майнинге.

Эксперты констатировали, что в последнее время увеличилось число киберпреступлений, связанных с майнингом. Хакеры устанавливают специальное вредоносное ПО на компьютеры граждан и организаций, которое без ведома владельцев участвует в добыче виртуальной валюты.

По данным специалистов, чаще всего это происходит через установочные файлы каких-либо других программ, скачиваемых пользователями в интернете, а также через уязвимости в ПО[43].

Добыча биткоинов на рабочем сервере Федерального резерва США

Сотрудник Федерального резерва США, имеющего монополию на выпуск доллара, был оштрафован за использование рабочего сервера для добычи биткоинов. Николас Бертоум (Nicholas Berthaume), который работал аналитиком по коммуникациям при совете директоров резерва, использовал свой доступ к федеральному компьютеру, чтобы установить на нем нелегальную программу для производства криптовалюты[44].

Оставаясь незамеченной, программа работала почти два года: с марта 2012 г. по июнь 2014 г. При этом она использовала вычислительные мощности сервера резерва, чтобы проводить, верифицировать и записывать операции с биткоинами. По правилам работы этого ПО, чем больше вычислительной мощности привлекает пользователь, тем большее вознаграждение он получает. За свои действия Бертоум был оштрафован на $5 тыс., а также получил 12 месяцев административного надзора. Сколько биткоинов он успел добыть за время работы ПО, неизвестно.

Кроме того, Служба генерального инспектора США, которая расследует дело, утверждает, что Бертоум модифицировал защиту на серверах резерва, чтобы удаленно управлять работой программы из дома. Услышав обвинения в свой адрес, Бертоум сначала отрицал факт добычи биткоинов, но некоторое время спустя попытался дистанционно удалить ПО с сервера и замести следы его присутствия. Когда это было доказано, злоумышленник сознался в своих действиях и начал сотрудничать со следствием. Несмотря на изменения в защите, утечки информации с сервера резерва не произошло.

Смотрите также Блокчейн и криптовалюта



Примечания

  1. ИТ-ресурсы Вашей компании–это дойная корова для хакеров
  2. Новый вид денег - "криптовалюта" постепенно входит в моду. А вместе с ней появляется "криптолихорадка". Как защитить свой компьютер от алчности криптомайнеров? Комментарии экспертов Bitdefender Россия
  3. Появился новый способ мошенничества с майнингом криптовалюты
  4. 83 товарные партии криптооборудования ввезли в Абхазию за шесть месяцев 2020 года
  5. Криптовалютчики из Куньи похитили электричество на 1,25 млн рублей
  6. Айрат Хайруллин: «На 71 компьютере в госорганах РТ был обнаружен майнинг криптовалюты»
  7. Полицейские Дагестана обнаружили майнинг-ферму на территории строительной базы
  8. В Минеральных Водах СКР возбудил уголовное дело в отношении бывшего начальника Минераловодского почтампа, подозреваемого в злоупотреблении должностными полномочиями
  9. Supercomputers hacked across Europe to mine cryptocurrency
  10. На птицефабрике в Новгородском районе обнаружена криптоферма
  11. Львовский железнодорожник незаконно майнил криптовалюту на рабочем месте
  12. 38% компаний стали жертвами криптомайнеров в 2019 году
  13. В Ингушетии майнеры-рецидивисты украли десятки тысяч кВт⋅ч электроэнергии
  14. Российские хакеры майнят криптовалюту на веб-страницах госорганизаций
  15. Attackers now use process hollowing to hide cryptocurrency miners on your PC
  16. В Ингушетии ликвидирована масштабная криптоферма
  17. Майнер в Ингушетии украл электроэнергию на 130 млн рублей
  18. Сотрудники Южно-Украинской АЭС майнили криптовалюту на рабочем месте
  19. В Красноярске коммунальщики обнаружили криптомайнинговую ферму
  20. Криптовалютчиков поймали с поличным за кражу электроэнергии
  21. CNews: Эксперты предупредили о новой угрозе криминального криптомайнинга
  22. Киберпреступники утратили интерес к майнингу криптовалюты
  23. Cybercrime tactics & techniques Q2 2018
  24. Китайские хакеры взломали более 1 млн компьютеров с целью майнинга криптовалюты
  25. Japan issues first-ever prison sentence in cryptojacking case
  26. Android security: Cryptocurrency mining-malware hidden in VPNs, games, and streaming apps, dowloaded 100,000 times
  27. Эксперты заявили об угрозе майнинга хакерами с помощью бытовой техники
  28. Now even YouTube serves ads with CPU-draining cryptocurrency miners
  29. Сайт минздрава использовался для добычи криптовалюты за счет ресурсов посетителей
  30. Через Facebook Messenger распространяется бот Digimine, который майнит Monero
  31. Работники правительства Крыма уволены за майнинг на рабочих местах
  32. Starbucks Buenos Aires Accused of Cryptocurrency Mining Using Customer's Laptop
  33. На официальном сайте D-Link обнаружен майнер криптовалюты
  34. D-Link Middle East `DLink-MEA` website is secretly mining cryptocurrencies
  35. В Google Chrome может появиться защита от криптомайнеров
  36. Please consider intervention for high cpu usage js
  37. Cryptocurrency mining affects over 500 million people. And they have no idea it is happening.
  38. 500 млн компьютеров используются для тайного майнинга криптовалюты
  39. Расширение для Google Chrome тайно майнит криптовалюту
  40. Miner
  41. Число атак майнерами-вредоносами за год выросло наполовину
  42. Over 1.65 Million Computers Infected With Cryptocurrency Miners in 2017 So Far
  43. Эксперты сообщили о росте киберпреступлений для майнинга в России
  44. Чиновник добывал биткоины на сервере Федерального резерва США