Wszystko o cryptojackingu
Cryptojacking (zwany również złośliwym cryptominingiem) to zagrożenie internetowe, które ukrywa się na komputerze lub urządzeniu mobilnym i wykorzystuje zasoby maszyny do "wydobywania" form waluty online znanych jako kryptowaluty. Złośliwe kryptowaluty często są pobierane przez przeglądarkę internetową lub nieuczciwe aplikacje mobilne. Cryptojacking może zagrozić wszystkim rodzajom urządzeń, w tym komputerom stacjonarnym, laptopom, smartfonom, a nawet serwerom sieciowym.
Podobnie jak większość innych złośliwych ataków na społeczeństwo komputerowe, motywem jest zysk, ale w przeciwieństwie do wielu zagrożeń, został zaprojektowany tak, aby pozostać całkowicie ukrytym przed użytkownikiem. Aby zrozumieć mechanikę zagrożenia i jak się przed nim chronić, zacznijmy od odrobiny tła.
Czym są kryptowaluty?
Kryptowaluty to formy pieniądza cyfrowego, które istnieją wyłącznie w świecie online, bez faktycznej fizycznej formy. Zostały one stworzone jako alternatywa dla tradycyjnych pieniędzy i zyskały popularność dzięki swojemu przyszłościowemu projektowi, potencjałowi wzrostu i anonimowości. Jedna z najwcześniejszych i najbardziej udanych form kryptowaluty, Bitcoin, pojawiła się w 2009 roku i zyskała uznanie głównego nurtu w kolejnych latach.
Sukces Bitcoina zainspirował dziesiątki innych kryptowalut, które działają mniej więcej w ten sam sposób. Być może znasz takie nazwy jak Ethereum czy Dogecoin. Obecnie ludzie na całym świecie używają kryptowalut do kupowania, sprzedawania i inwestowania.
Dwa słowa - "kryptografia" i "waluta" - łączą się, tworząc "kryptowalutę", która jest pieniądzem elektronicznym opartym na zasadach złożonego szyfrowania matematycznego. Wszystkie kryptowaluty istnieją jako zaszyfrowane, zdecentralizowane jednostki pieniężne, które można swobodnie przenosić między uczestnikami sieci. Mówiąc prościej, kryptowaluta to energia elektryczna przekształcona w linie kodu, które mają rzeczywistą wartość pieniężną.
Jednostki kryptowaluty (zwane "monetami") to nic innego jak wpisy w bazie danych. Aby wykonać transakcję, która zmienia bazę danych, należy spełnić określone warunki. Pomyśl o tym, jak śledzisz swoje własne pieniądze na koncie bankowym. Za każdym razem, gdy autoryzujesz przelewy, wypłaty lub wpłaty, baza danych banku aktualizuje się o nowe transakcje. Kryptowaluty działają w podobny sposób, ale ze zdecentralizowaną bazą danych.
W przeciwieństwie do tradycyjnych walut, kryptowaluty takie jak bitcoin nie są wspierane przez konkretny rząd lub bank. Nie istnieje żaden rządowy nadzór ani centralny regulator kryptowalut. Jest ona zdecentralizowana i zarządzana w wielu zduplikowanych bazach danych jednocześnie w sieci milionów komputerów, które nie należą do żadnej osoby ani organizacji. Co więcej, baza danych kryptowalut funkcjonuje jako księga cyfrowa. Wykorzystuje szyfrowanie do kontrolowania tworzenia nowych monet i weryfikacji transferu środków. Przez cały czas kryptowaluta i jej właściciele pozostają całkowicie anonimowi.
Zdecentralizowany, anonimowy charakter kryptowalut oznacza, że nie ma organu regulacyjnego, który decydowałby o ilości waluty wprowadzanej do obiegu. Zamiast tego większość kryptowalut trafia do obiegu w procesie zwanym "wydobywaniem kryptowalut". Bez zbytniego zagłębiania się, proces wydobywania zasadniczo zamienia zasoby obliczeniowe w monety kryptowalutowe. Początkowo każdy, kto posiadał komputer, mógł wydobywać kryptowaluty, ale szybko przerodziło się to w wyścig zbrojeń.
Obecnie większość górników korzysta z potężnych, specjalnie zaprojektowanych komputerów, które wydobywają kryptowaluty przez całą dobę. Wkrótce ludzie zaczęli szukać nowych sposobów wydobywania kryptowalut i narodził się cryptojacking. Zamiast płacić za drogi komputer górniczy, hakerzy infekują zwykłe komputery i wykorzystują je jako sieć do wykonywania swoich zadań.
Jak ludzie korzystają z kryptowalut?
Właściciele kryptowalut przechowują swoje pieniądze w wirtualnych "portfelach", które są bezpiecznie szyfrowane za pomocą kluczy prywatnych. W ramach transakcji transfer środków pomiędzy właścicielami dwóch cyfrowych portfeli wymaga wprowadzenia zapisu tej wymiany do zdecentralizowanej publicznej księgi cyfrowej. Specjalne komputery zbierają dane z najnowszych transakcji Bitcoin lub innych kryptowalut mniej więcej co 10 minut i przekształcają je w matematyczną układankę. Tam transakcja w układance czeka na potwierdzenie.
Potwierdzenie następuje tylko wtedy, gdy członkowie innej kategorii uczestników, zwani górnikami, niezależnie rozwiązują złożone zagadki matematyczne, które dowodzą legalności transakcji, tym samym kończąc transakcję od właściciela jednego portfela do drugiego. Zazwyczaj armia górników pracuje nad łamigłówką jednocześnie, ścigając się, aby być pierwszym z dowodem łamigłówki, który uwierzytelnia transakcję.
Górnik, który jako pierwszy rozwiąże zaszyfrowany problem, otrzymuje nagrodę, zwykle pewną ilość nowych kryptowalut. Podejście to zostało stworzone specjalnie jako zachęta dla tych, którzy poświęcają czas i moc obliczeniową swoich komputerów, aby utrzymać sieć i tworzyć nowe monety. Ponieważ złożoność obliczeń łamigłówek stale rosła w miarę upływu czasu (a zwłaszcza w przypadku Bitcoina), górnicy odkryli, że nawet wysokiej klasy komputery PC z potężnym procesorem nie mogą wydobywać wystarczająco opłacalnie, aby pokryć związane z tym koszty.
Górnicy przyspieszyli swoją grę, dodając zaawansowane karty graficzne, czasem wiele kart, aby poradzić sobie z uciążliwymi obliczeniami. W końcu górnicy, którzy chcieli pozostać konkurencyjni, zaczęli budować ogromne farmy komputerów z dedykowanym sprzętem do wydobywania kryptowalut na skalę komercyjną. W tym miejscu jesteśmy dzisiaj: poważni gracze kryptowalutowi inwestują duże pieniądze w walkę o wysoką stawkę z innymi górnikami, aby jako pierwsi rozwiązać zagadkę i odebrać nagrodę.
Skalowanie do tak ogromnego wysiłku jest niezwykle kosztownym wyścigiem zbrojeń, wymagającym dużej mocy obliczeniowej i energii elektrycznej, aby zwiększyć szanse górników na zysk. Na przykład, zanim Chiny zamknęły farmy kryptowalut w tym kraju, miesięczne rachunki za energię elektryczną sięgały podobno 80 000 USD.
Czym jest cryptojacking?
Cryptojacking to schemat wykorzystywania urządzeń ludzi (komputerów, smartfonów, tabletów, a nawet serwerów), bez ich zgody lub wiedzy, do potajemnego wydobywania kryptowaluty za pieniądze ofiary. Zamiast budować dedykowany komputer do kopania kryptowalut, hakerzy wykorzystują cryptojacking do kradzieży zasobów obliczeniowych z urządzeń swoich ofiar. Po zsumowaniu wszystkich tych zasobów hakerzy są w stanie konkurować z zaawansowanymi operacjami wydobywania kryptowalut bez kosztownych kosztów ogólnych.
Jeśli padłeś ofiarą cryptojackingu, możesz tego nie zauważyć. Większość oprogramowania do cryptojackingu jest zaprojektowana tak, aby pozostać w ukryciu przed użytkownikiem, ale to nie znaczy, że nie zbiera swoich żniw. Kradzież zasobów obliczeniowych spowalnia inne procesy, zwiększa rachunki za prąd i skraca żywotność urządzenia. W zależności od tego, jak subtelny jest atak, możesz zauważyć pewne czerwone flagi. Jeśli komputer lub strona Mac zwalnia lub używa wentylatora chłodzącego częściej niż zwykle, możesz mieć powody, by podejrzewać cryptojacking.
Motywacja stojąca za cryptojackingiem jest prosta: pieniądze. Wydobywanie kryptowalut może być bardzo lukratywne, ale osiągnięcie zysku jest obecnie prawie niemożliwe bez środków na pokrycie dużych kosztów. Dla kogoś z ograniczonymi zasobami i wątpliwą moralnością, cryptojacking jest skutecznym, niedrogim sposobem na wydobycie cennych monet.
Jak działa cryptojacking?
Cryptojackerzy mają więcej niż jeden sposób na zniewolenie komputera. Jedna metoda działa jak klasyczne złośliwe oprogramowanie. Użytkownik klika złośliwy link w wiadomości e-mail, który ładuje kod do kopania kryptowalut bezpośrednio na komputer. Po zainfekowaniu komputera cryptojacker zaczyna pracować przez całą dobę, aby wydobywać kryptowalutę, pozostając ukrytym w tle. Ponieważ znajduje się na komputerze użytkownika, jest to zagrożenie lokalne - trwałe zagrożenie, które zainfekowało sam komputer.
Alternatywne podejście do cryptojackingu jest czasami nazywane drive-by cryptomining. Podobnie jak w przypadku złośliwych exploitów reklamowych, schemat obejmuje osadzenie fragmentu kodu JavaScript na stronie internetowej. Następnie wykonuje wydobywanie kryptowalut na komputerach użytkowników, którzy odwiedzają stronę.
We wczesnych przypadkach drive-by cryptomining, wydawcy internetowi złapani na szaleństwie bitcoinów starali się uzupełnić swoje przychody i zarabiać na ruchu, otwarcie prosząc odwiedzających o zgodę na wydobywanie kryptowalut podczas odwiedzania ich witryny. Przedstawiali to jako uczciwą wymianę: ty otrzymujesz darmowe treści, podczas gdy oni używają twojego komputera do wydobywania.
Jeśli jesteś, powiedzmy, na stronie z grami, prawdopodobnie pozostaniesz na stronie przez jakiś czas, podczas gdy kod JavaScript będzie wydobywał monety. Następnie, gdy opuścisz witrynę, kryptomining również się wyłączy i zwolni twój komputer. Teoretycznie nie jest to takie złe, o ile strona jest przejrzysta i uczciwa w tym, co robi, ale trudno jest mieć pewność, że strony grają uczciwie.
Bardziej złośliwe wersje drive-by cryptomining nie zawracają sobie głowy pytaniem o pozwolenie i działają długo po opuszczeniu początkowej witryny. Jest to powszechna technika stosowana przez właścicieli podejrzanych witryn lub hakerów, którzy włamali się do legalnych witryn. Użytkownicy nie mają pojęcia, że odwiedzona przez nich witryna wykorzystuje ich komputer do wydobywania kryptowalut. Kod wykorzystuje wystarczającą ilość zasobów systemowych, aby pozostać niezauważonym. Chociaż użytkownik myśli, że widoczna przeglądarka windows jest zamknięta, ukryta pozostaje otwarta. Zazwyczaj jest to wyskakujące okienko, które mieści się pod paskiem zadań lub za zegarem.
Drive-by cryptomining może zainfekować nawet urządzenie mobilne Android . Działa przy użyciu tych samych metod, które atakują komputery stacjonarne. Niektóre ataki odbywają się za pośrednictwem trojana ukrytego w pobranej aplikacji. Telefony użytkowników mogą też zostać przekierowane do zainfekowanej witryny, która pozostawia trwałe okienko pop-under. Istnieje nawet trojan, który atakuje telefony Android za pomocą instalatora tak nikczemnego, że może obciążyć procesor do tego stopnia, że telefon przegrzewa się, bateria wybrzusza się i zasadniczo pozostawia Android martwym. Więc to jest to.
Można by pomyśleć: "Po co wykorzystywać mój telefon i jego stosunkowo niewielką moc obliczeniową?". Ale kiedy takie ataki zdarzają się masowo, większa liczba smartfonów stanowi zbiorową siłę wartą uwagi kryptojackerów.
Niektórzy specjaliści ds. cyberbezpieczeństwa zwracają uwagę, że w przeciwieństwie do większości innych rodzajów złośliwego oprogramowania, skrypty cryptojackingowe nie wyrządzają szkód komputerom ani danym ofiar. Kradzież zasobów procesora ma jednak swoje konsekwencje. Oczywiście, wolniejsza wydajność komputera może być tylko irytacją dla pojedynczego użytkownika. Ale w przypadku większych organizacji, które mogły ucierpieć z powodu wielu systemów cryptojackingowych, istnieją realne koszty. Koszty energii elektrycznej, koszty pracy IT i utracone możliwości to tylko niektóre z konsekwencji tego, co dzieje się, gdy organizacja jest dotknięta przez drive-by cryptojacking.
Jak powszechny jest cryptojacking?
W ciągu ostatnich kilku lat cryptojacking stał się dość powszechnym typem zagrożenia, zyskując na popularności w 2017 i 2018 roku. W lutym 2018 r. serwis Malwarebytes Labs opublikował informację, że złośliwy cryptomining stał się najczęściej wykrywanym typ em zagrożeń od września 2017 r. W październiku 2017 r. Fortune zasugerował, że cryptojacking jest kolejnym poważnym zagrożeniem bezpieczeństwa. W pierwszym kwartale 2018 roku zaobserwowaliśmy 4000-procentowy wzrost wykryć złośliwego oprogramowania do cryptojackingu opartego na Android.
W tym czasie cryptojackerzy kontynuowali swoją grę, atakując coraz potężniejszy sprzęt. Jednym z przykładów jest incydent, w którym przestępcy włamali się do sieci technologii operacyjnej systemu sterowania europejskiego zakładu wodociągowego, pogarszając zdolność operatorów do zarządzania zakładem. W innym przypadku z tego samego raportu grupa rosyjskich naukowców rzekomo wykorzystała superkomputer w swoim ośrodku badawczym i głowicy nuklearnej do wydobywania Bitcoinów.
W ostatnim czasie, podczas gdy inne rodzaje złośliwego oprogramowania zwiększyły swoją popularność i trafiły na międzynarodowe nagłówki(na przykład ransomware w 2021 r.), cryptojacking stał się w pewnym sensie głównym typem zagrożenia. W naszym raporcie o stanie złośliwego oprogramowania w 2021 r. zauważyliśmy, że BitCoinMiner pozostał największym zagrożeniem biznesowym dla komputerów Windows , a dla konsumentów, w szczególności komputery Mac odnotowały wzrost liczby kradnących kryptowaluty.
Chociaż cryptojacking może nie trafiać na pierwsze strony gazet tak często, jak miało to miejsce w 2017 i 2018 roku, pozostaje on stosunkowo mało ryzykownym sposobem na zarabianie pieniędzy na zasobach innych osób, dlatego ważne jest, aby chronić swoje urządzenia przed tego typu zagrożeniami.
Jak chronić się przed cryptojackingiem?
Niezależnie od tego, czy kryptowaluta została przejęta lokalnie w systemie, czy za pośrednictwem przeglądarki, ręczne wykrycie włamania po fakcie może być trudne. Podobnie, znalezienie źródła wysokiego użycia procesora może być trudne. Procesy mogą się ukrywać lub maskować jako coś legalnego, aby utrudnić powstrzymanie nadużyć. Jako bonus dla kryptojackerów, gdy komputer działa z maksymalną wydajnością, będzie działał bardzo wolno, a zatem trudniej będzie go rozwiązać. Podobnie jak w przypadku wszystkich innych środków ostrożności związanych ze złośliwym oprogramowaniem, znacznie lepiej jest zainstalować zabezpieczenia, zanim staniesz się ofiarą.
Jedną z oczywistych opcji jest zablokowanie JavaScript w przeglądarce używanej do surfowania po Internecie. Chociaż przerywa to drive-by cryptojacking, może to również blokować korzystanie z funkcji, które lubisz i potrzebujesz. Istnieją również wyspecjalizowane programy, takie jak "No Coin" i "MinerBlock", które blokują aktywność wydobywczą w popularnych przeglądarkach. Oba mają rozszerzenia dla Chrome, Firefox i Opera. Najnowsze wersje Opery mają nawet wbudowany NoCoin.
Sugerujemy jednak, aby unikać specjalnie stworzonych rozwiązań i poszukać bardziej kompleksowego programu cyberbezpieczeństwa. Malwarebytes PremiumNa przykład , chroni nie tylko przed cryptojackingiem. Zapobiega również złośliwemu oprogramowaniu, oprogramowaniu ransomware i wielu innym zagrożeniom internetowym. Niezależnie od tego, czy atakujący próbują użyć złośliwego oprogramowania, pobierania drive-by opartego na przeglądarce, czy trojana (takiego jak Emotet), jesteś chroniony przed cryptojackingiem.
W stale zmieniającym się krajobrazie zagrożeń, ochrona przed najnowszymi zagrożeniami, takimi jak cryptojacking, to praca na pełen etat. Dzięki Malwarebytes Premiumbędziesz mieć środki do wykrywania i usuwania wszelkiego rodzaju włamań oraz zapewnienia, że zasoby twojego komputera pozostaną tylko twoje.
(Aby uzyskać więcej informacji, zobacz "Jak chronić swój komputer przed złośliwym cryptominingiem" autorstwa Pietera Arntza).
Wiadomości o cryptojackingu
- Zimny portfel, gorący portfel czy pusty portfel?
- Kontenery Cryptomining przyłapane na potajemnym wydobywaniu kryptowalut
- Fałszywa aplikacja Trezor kradnie kryptowaluty o wartości ponad 1 miliona dolarów
- Nowy kryptominer Mac Malwarebytes wykrywa, że Bird Miner działa poprzez emulację Linuksa
- Cryptojacking w erze po Coinhive
- Kampania drive-by cryptomining skierowana jest do milionów użytkowników Android .
- Jak chronić swój komputer przed złośliwym cryptominingiem?
- Trwałe kopanie kryptowalut metodą drive-by zbliża się do najbliższej przeglądarki
- Spojrzenie na globalne zjawisko kopania kryptowalut metodą drive-by
- Spojrzenie na ataki Drupalgeddon po stronie klienta
- Stan złośliwego cryptominingu
- Rabusie bankowi 2.0: cyfrowe złodziejstwo i skradzione kryptowaluty