Cryptojacking – co to jest?

Cryptojacking to forma złośliwego oprogramowania, które ukrywa się na urządzeniu i kradnie jego zasoby obliczeniowe w celu wydobywania cennych walut internetowych, takich jak Bitcoin.

POBIERZ MALWAREBYTES ZA DARMO

Także dla Windows, iOS, Android, Chromebook i Dla Biznesu

Wszystko o cryptojackingu

Cryptojacking (nazywany też złośliwym kryptominingiem) to zagrożenie online, które ukrywa się na komputerze lub urządzeniu mobilnym i korzysta z zasobów maszyny do „kopania” form waluty online znanych jako kryptowaluty. Złośliwi kryptominery często przychodzą przez pobieranie przeglądarek internetowych lub nielegalne aplikacje mobilne. Cryptojacking może zagrażać wszelkim rodzajom urządzeń, w tym komputerom stacjonarnym, laptopom, smartfonom, a nawet serwerom sieciowym. 

Podobnie jak większość innych złośliwych ataków na użytkowników komputerów, motywacją jest zysk, ale w przeciwieństwie do wielu zagrożeń, jest zaprojektowany, aby całkowicie ukryć się przed użytkownikiem. Aby zrozumieć mechanikę tego zagrożenia i jak się przed nim bronić, zacznijmy od trochę tła.

Czym są kryptowaluty?

Kryptowaluty to formy cyfrowej gotówki, które istnieją tylko w świecie online, bez rzeczywistej formy fizycznej. Zostały stworzone jako alternatywa dla tradycyjnych pieniędzy i zyskały popularność dzięki swemu nowatorskiemu projektowi, potencjałowi wzrostu i anonimowości. Jedną z najwcześniejszych, najbardziej udanych form kryptowaluty jest Bitcoin, który pojawił się w 2009 roku i zyskał uznanie na szeroką skalę w kolejnych latach.

Sukces Bitcoina zainspirował dziesiątki innych kryptowalut działających w podobny sposób. Możesz być zaznajomiony z takimi nazwami jak Ethereum czy Dogecoin. Dziś ludzie na całym świecie używają kryptowalut do kupowania, sprzedawania i inwestowania.

Dwa słowa—„kryptografia” i „waluta”—łączą się, tworząc „kryptowalutę”, czyli elektroniczne pieniądze oparte na zasadach złożonego matematycznego szyfrowania. Wszystkie kryptowaluty istnieją jako zaszyfrowane, zdecentralizowane jednostki monetarne, swobodnie wymienialne między uczestnikami sieci. Mówiąc prościej, kryptowaluta to elektryczność przekształcona w linie kodu, które mają rzeczywistą wartość pieniężną.

Jednostki kryptowaluty (zwane „monetami”) są niczym więcej niż wpisami w bazie danych.

Jednostki kryptowaluty (zwane „monetami”) są niczym więcej niż wpisami w bazie danych. Aby przeprowadzić transakcję, która zmienia bazę danych, musisz spełnić określone warunki. Pomyśl, jak śledzisz własne pieniądze na koncie bankowym. Za każdym razem, gdy autoryzujesz przelewy, wypłaty lub depozyty, baza danych banku aktualizuje się o Twoje nowe transakcje. Kryptowaluty działają w podobny sposób, ale z zdecentralizowaną bazą danych.

W przeciwieństwie do tradycyjnych walut, kryptowaluty takie jak bitcoin nie są wspierane przez konkretny rząd lub bank. Nie ma nadzoru rządowego ani centralnego regulatora kryptowalut. Są one zdecentralizowane i zarządzane jednocześnie w wielu duplikatach baz danych w sieci milionów komputerów, które nie należą do jednej osoby ani organizacji. Co więcej, baza danych kryptowalut działa jak cyfrowa księga rachunkowa. Używa szyfrowania do kontrolowania tworzenia nowych monet i weryfikacji transferu środków. Cały czas kryptowaluta i jej właściciele pozostają całkowicie anonimowi.

Zdecentralizowana, anonimowa natura kryptowalut oznacza, że nie ma organu regulacyjnego, który decyduje o ilości waluty wypuszczanej do obiegu. Zamiast tego, większość kryptowalut trafia w obieg przez proces zwany „kopaniem kryptowalut”. Bez wchodzenia w szczegóły, proces kopania zasadniczo zamienia zasoby komputerowe w monety kryptowalutowe. Początkowo każdy, kto miał komputer, mógł kopać kryptowaluty, ale szybko zamieniło się to w wyścig zbrojeń.

Dzisiaj większość minerów używa potężnych, specjalnie zbudowanych komputerów, które kopią kryptowaluty przez całą dobę. Wkrótce ludzie zaczęli szukać nowych sposobów na kopanie kryptowalut i narodził się cryptojacking. Zamiast płacić za drogi komputer do kopania, hakerzy zarażają zwykłe komputery i używają ich jako sieci do realizacji swoich celów.

Jak ludzie wykorzystują kryptowaluty?

Właściciele kryptowalut przechowują swoje pieniądze w wirtualnych „portfelach”, które są bezpiecznie szyfrowane za pomocą kluczy prywatnych. Podczas transakcji, transfer środków między właścicielami dwóch cyfrowych portfeli wymaga zarejestrowania tego wymiany w zdecentralizowanej publicznej cyfrowej księdze rachunkowej. Specjalne komputery zbierają dane z najnowszych transakcji Bitcoin lub innej kryptowaluty co około 10 minut i przekształcają je w matematyczne łamigłówki. Tam transakcja w ramach łamigłówki czeka na potwierdzenie.

Potwierdzenie następuje tylko wtedy, gdy członkowie innej kategorii uczestników, zwani minerami, niezależnie rozwiązują złożone matematyczne łamigłówki, które udowadniają legalność transakcji i tym samym dokonują wymiany środków z właściciela jednego portfela do drugiego. Typowo, armia minerów pracuje nad łamigłówką jednocześnie w wyścigu o uzyskanie potwierdzenia łamigłówki jako pierwsza, co autoryzuje transakcję.

Minerzy odkryli, że nawet komputery z wysokiej półki z potężnym procesorem nie były w stanie kopalni wystarczająco dochodowo, aby pokryć związane z tym koszty.

Miner, który pierwszy rozwiąże zaszyfrowany problem, otrzymuje nagrodę, zwykle pewną ilość nowej cryptocoiny. To podejście zostało zaprojektowane jako zachęta dla tych, którzy poświęcają czas i moc obliczeniową swoich komputerów na utrzymanie sieci i tworzenie nowych monet. Ponieważ złożoność obliczeń łamigłówek stale rośnie z czasem (i szczególnie dla Bitcoina), minerzy odkryli, że nawet komputery z wysokiej półki z potężnym procesorem nie były w stanie kopalni wystarczająco dochodowo, aby pokryć związane z tym koszty.

Minerzy postanowili podnosić poziom, dodając zaawansowane karty graficzne, czasami wiele kart, do obsługi obciążających obliczeń. W końcu minerzy, którzy chcieli pozostać konkurencyjni, zaczęli budować ogromne farmy komputerowe z dedykowanym sprzętem do komercyjnego kopania kryptowalut. W obecnych czasach poważni gracze kryptowalutowi inwestują duże pieniądze w ciężką rywalizację z innymi minerami, aby rozwiązać łamigłówkę jako pierwsi i zgarnąć nagrodę.

Sprostać tej masowej skali to niezwykle kosztowny wyścig zbrojeń, wymagający ogromnej mocy obliczeniowej i energii elektrycznej, aby zwiększyć szanse minerów na zyskowność. Na przykład zanim Chiny zamknęły farmy kryptowalut w tym kraju, comiesięczne rachunki za prąd sięgały podobno 80 000 dolarów.

Jeśli jesteś ofiarą cryptojackingu, możesz tego nie zauważyć.

Co to jest cryptojacking?

Cryptojacking to schemat korzystania z urządzeń ludzi (komputerów, smartfonów, tabletów lub nawet serwerów) bez ich zgody lub wiedzy, w celu potajemnego miningu kryptowalut na koszt ofiary. Zamiast budować dedykowany komputer do kryptowalut, hakerzy używają cryptojackingu do kradzieży zasobów obliczeniowych z urządzeń swoich ofiar. Gdy dodasz wszystkie te zasoby razem, hakerzy są w stanie konkurować z zaawansowanymi operacjami kryptowalutowymi bez kosztownych nadwyżek.

Jeśli jesteś ofiarą cryptojackingu, możesz tego nie zauważyć. Większość oprogramowania cryptojackingowego jest zaprojektowana tak, aby pozostawać ukryta przed użytkownikiem, ale to nie znaczy, że nie odbiera swojego żniwa. Ta kradzież zasobów obliczeniowych spowalnia inne procesy, zwiększa rachunki za prąd i skraca żywotność twojego urządzenia. W zależności od subtelności ataku, możesz zauważyć pewne oznaki. Jeśli twój PC lub Mac zwalnia lub używa wentylatora chłodzącego częściej niż normalnie, możesz mieć powód do podejrzeń o cryptojacking.

Motywacja stojąca za cryptojackingiem jest prosta: pieniądze. Kopanie kryptowalut może być bardzo opłacalne, ale osiągnięcie zysku jest teraz prawie niemożliwe bez środków na pokrycie dużych kosztów. Dla kogoś z ograniczonymi zasobami i wątpliwymi moralnie przekonaniami, cryptojacking to skuteczny, tani sposób na kopanie wartościowych monet.

Jak działa cryptojacking?

Cryptojackerzy mają więcej niż jeden sposób na zainfekowanie Twojego komputera. Jedna z metod działa jak klasyczne złośliwe oprogramowanie. Klikasz w złośliwy link w e-mailu i ładuje on kod kryptominingowy bezpośrednio do Twojego komputera. Kiedy komputer jest zainfekowany, cryptojacker zaczyna pracować przez całą dobę, aby kopać kryptowaluty, pozostając ukrytym w tle. Ponieważ kod znajduje się na Twoim PC, jest lokalny — to trwałe zagrożenie, które zainfekowało sam komputer.

Alternatywne podejście do cryptojackingu czasami nazywane jest drive-by cryptomining. Podobny do złośliwych reklamowych exploitów, schemat polega na osadzeniu kawałka kodu JavaScript na stronie internetowej. Następnie kod ten wykonuje kryptomining na komputerach użytkowników odwiedzających stronę.

Drive-by cryptomining może nawet zainfekować Twoje urządzenie mobilne z systemem Androida.

We wczesnych przypadkach drive-by cryptomining, wydawcy stron internetowych złapani w szał Bitcoinowy próbowali uzupełnić swoje dochody i zmonizować swoją oglądalność, otwarcie prosząc odwiedzających o zgodę na kopanie kryptowalut podczas przebywania na ich stronie. Przedstawiali to jako uczciwą wymianę: Ty masz darmową treść, podczas gdy oni używają Twojego komputera do miningu.

Jeśli jesteś na przykład na stronie z grami, to prawdopodobnie pozostaniesz na niej przez jakiś czas, podczas gdy kod JavaScript kopie monetę. Kiedy opuszczasz stronę, kryptomining również się wyłącza i zwalnia Twój komputer. Teoretycznie nie jest to takie złe, o ile strona jest przejrzysta i uczciwa w tym, co robi, ale trudno mieć pewność, że strony grają fair.

Bardziej złośliwe wersje drive-by cryptomining nie zadają sobie trudu, żeby prosić o zgodę i działają długo po opuszczeniu pierwotnej strony. To popularna technika właścicieli podejrzanych witryn lub hakerów, którzy złamali legalne strony. Użytkownicy nie mają pojęcia, że strona, którą odwiedzili, używała ich komputera do kopania kryptowalut. Kod używa tylko tyle zasobów systemowych, by pozostać niezauważonym. Chociaż użytkownik myśli, że widoczne okna przeglądarki są zamknięte, jedno ukryte pozostaje otwarte. Zwykle jest to "pop-under", który jest tak ustawiony, aby zmieścić się pod paskiem zadań lub za zegarem.

Drive-by cryptomining może nawet zainfekować Twoje urządzenie mobilne z systemem Androida. Działa przy użyciu tych samych metod, które celują w komputery stacjonarne. Niektóre ataki odbywają się poprzez Trojan ukryty w pobranej aplikacji. Albo telefony użytkowników mogą być przekierowywane na zainfekowaną stronę, która pozostawia trwałe "pop-under". Jest nawet Trojan, który atakuje telefony z systemem Android w sposób tak nikczemny, że może obciążać procesor do tego stopnia, że telefon się przegrzewa, bateria puchnie, a w zasadzie pozostaje Twój Android w stanie bezużytecznym. Tak więc, to się dzieje.

Możesz pomyśleć, “Dlaczego używać mojego telefonu i jego stosunkowo niewielkiej mocy obliczeniowej?” Ale kiedy te ataki zdarzają się na masową skalę, większa liczba smartfonów dodaje się do zbiorczej siły, która przyciąga uwagę cryptojackerów.

Niektórzy specjaliści ds. cyberbezpieczeństwa zauważają, że w przeciwieństwie do większości innych rodzajów złośliwego oprogramowania, skrypty cryptojacking nie uszkadzają komputerów ani danych ofiar. Jednak kradzież zasobów procesora ma swoje konsekwencje. Jasne, wolniejsze działanie komputera może być tylko irytacją dla pojedynczego użytkownika. Ale dla większych organizacji, które mogą mieć wiele zcryptojackowanych systemów, są realne koszty. Koszty elektryczności, koszty pracy zespołów IT i stracone szanse to tylko niektóre z konsekwencji, jakie mogą wystąpić, gdy organizacja zostanie dotknięta drive-by cryptojacking.

Jak rozpowszechniony jest cryptojacking?

W ciągu ostatnich kilku lat kryptojacking stał się dość powszechnym zagrożeniem, które zyskało na popularności szczególnie w latach 2017 i 2018. W lutym 2018 laboratoria Malwarebytes opublikowały informację, że szkodliwy kryptomining stał się najczęściej wykrywanym zagrożeniem od września 2017. W październiku 2017, Fortune zasugerował, że kryptojacking to kolejne poważne zagrożenie dla bezpieczeństwa. W pierwszym kwartale 2018 odnotowaliśmy 4 000-procentowy wzrost liczby wykryć szkodliwego oprogramowania kryptojackingowego opartego na systemie Android. 

W tym czasie cryptojackerzy nieustannie zwiększali swoje możliwości, atakując coraz potężniejszy sprzęt. Jednym z przykładów jest incydent, w którym przestępcy zcryptojackowali sieć technologii operacyjnej europejskiej stacji wodociągowej, pogarszając zdolność operatorów do zarządzania zakładem. W innym przypadku, pochodzącym z tego samego raportu, grupa rosyjskich naukowców rzekomo użyła superkomputera w swoim ośrodku badawczym i zakładzie budowy głowic nuklearnych do miningu Bitcoinów. 

W ostatnich latach, podczas gdy inne rodzaje złośliwego oprogramowania stały się bardziej powszechne i pojawiły się na międzynarodowych nagłówkach (jak ransomware w 2021 roku), cryptojacking stał się swoistą stałą wśród zagrożeń. W naszym Raporcie o stanie złośliwego oprogramowania za 2021 rok zauważyliśmy, że BitCoinMiner pozostawał najważniejszym zagrożeniem biznesowym dla komputerów z systemem Windows, a dla konsumentów szczególnie komputery Mac odnotowały wzrost kradzieży/koparek kryptowalut.

Chociaż cryptojacking nie pojawia się w nagłówkach równie często jak w 2017 i 2018 roku, pozostaje stosunkowo niskiego ryzyka sposobem dla cyberprzestępców na zarabianie pieniędzy na cudzych zasobach, dlatego ważne jest, aby chronić swoje urządzenia przed tego typu zagrożeniem. 

Jak mogę się chronić przed cryptojackingiem?

Bez względu na to, czy zostałeś zcryptojackowany lokalnie na swoim systemie, czy przez przeglądarkę, może być trudno ręcznie wykryć to naruszenie po fakcie. Podobnie, znalezienie źródła wysokiego użycia procesora może być trudne. Procesy mogą się ukrywać lub maskować jako coś legalnego, aby utrudnić Ci powstrzymanie nadużycia. W bonusie dla cryptojackerów, kiedy twój komputer działa na najwyższych obrotach, działa ultralwolno, co utrudnia jego rozwiązywanie problemów. Podobnie jak w przypadku wszystkich innych środków ostrożności przed złośliwym oprogramowaniem, dużo lepiej jest zainstalować zabezpieczenia zanim staniesz się ofiarą.

Jedną z oczywistych opcji jest blokowanie JavaScript w przeglądarce, którą używasz do surfowania po sieci. Chociaż to przerywa drive-by cryptojacking, może to również zablokować ci użycie funkcji, które lubisz i potrzebujesz. Są też specjalne programy, takie jak „No Coin” i „MinerBlock”, które blokują działania miningu w popularnych przeglądarkach. Oba mają rozszerzenia dla Chrome, Firefox i Opera. Najnowsze wersje Opery nawet mają NoCoin wbudowany.

Niezależnie od tego, czy atakujący próbują użyć złośliwego oprogramowania, pobrania przez przeglądarkę typu drive-by, czy Trojana, jesteś chroniony przed cryptojackingiem.”

Nasza sugestia to unikanie rozwiązań zaprojektowanych tylko do jednego celu i wybór bardziej kompleksowego programu cyberbezpieczeństwa. Malwarebytes Premium, na przykład, chroni nie tylko przed kryptojackingiem. Zabezpiecza również przed złośliwym oprogramowaniem, ransomware i wieloma innymi zagrożeniami online. Niezależnie od tego, czy atakujący używają złośliwego oprogramowania, przeglądarkowych drive-by pobrań czy trojana (takiego jak Emotet), jesteś chroniony przed kryptojackingiem.

W krajobrazie zagrożeń, który nieustannie się zmienia, ochrona przed najnowszymi zagrożeniami, takimi jak kryptojacking, jest pracą na pełen etat. Z Malwarebytes Premium będziesz mieć narzędzia do wykrywania i usuwania każdego rodzaju naruszeń oraz dbania, by zasoby Twojego komputera pozostały tylko do Twojej dyspozycji.

(Dla dalszej lektury, zobacz „Jak chronić swój komputer przed złośliwym kryptominingiem” autorstwa Pietera Arntza.)

Aktualności o cryptojackingu