Όπως όλες οι πρωτοποριακές εφευρέσεις, το ψηφιακό χρήμα φέρνει κι αυτό ένα ηθικό παράδοξο: ενώ μερικοί το θεωρούν ως ένα επαναστατικό εργαλείο για να κάνουν τον κόσμο καλύτερο, άλλοι το χρησιμοποιούν ήδη για να δώσουν ώθηση στις παράνομες δραστηριότητες τους. Ως εκ τούτου, ήταν απλώς θέμα χρόνου αυτή η δραστηριότητα να γίνει ένα σοβαρό ζήτημα ασφάλειας στο διαδίκτυο.
Είμαστε ήδη μάρτυρες ενός νέου αναδυόμενου τύπου εγκλήματος στον διαδίκτυο που γίνεται πιο δημοφιλές από τις επιθέσεις ransomware : το cryptojacking.
Πρέπει να ανησυχούμε για αυτό ή είναι κάτι πρόσκαιρο;

Γρήγορης Ιωαννίδης
Business Development Manager
Bitdefender Greece & Cyprus: www.bitdefender.gr

Cryptocurrency Mining vs. Cryptojacking

Προκειμένου να δοθεί σωστή απάντηση σε αυτήν την ερώτηση, πρέπει να διευκρινίσουμε το τρέχον γενικό πλαίσιο.

Καθώς εξελίσσονται οι μέθοδοι του crypto-mining, προκύπτουν νέες ηθικές και νομικές πτυχές:

  • Νόμιμο – ηθικό crypto-mining. Δεν υπάρχει τίποτα κακό με τη χρήση των δικών σας συσκευών και της ηλεκτρικής ενέργειας για εξόρυξη νομισμάτων.
  • Πιθανώς κακόβουλα crypto-mining. Μέσω της εμφάνισης του Coinhive και άλλων παρόμοιων υπηρεσιών, οι ιστότοποι μπορούν να χρησιμοποιήσουν τη δύναμη CPU των επισκεπτών τους για εξόρυξη αντί να εμφανίζουν ενοχλητικές διαφημίσεις. Τουλάχιστον θεωρητικά, αυτό ακούγεται σαν μια καλή ιδέα. Το site ειδήσεων Salon.com ακόμη και η UNICEF το χρησιμοποίησαν στην προσπάθειά τους για εναλλακτικές τεχνικές συλλογής κεφαλαίων. Σε αντίθεση με τον ιστότοπο Pirate Bay που όταν πρόσφατα πιάστηκε να το κάνει κρυφά, δηλώσει ότι το έκανε για να απαλλαγεί από τις διαφημίσεις..
  • Cryptojacking / Coinjacking / Drive-by mining. Τον να πληρώνει κάποιος το λογαριασμό κάποιου τρίτου που χρησιμοποιεί την υπολογιστική του δύναμη χωρίς τη συγκατάθεσή του είναι ανήθικο. Στην πραγματικότητα, είναι παράνομο – για παράδειγμα, στις ΗΠΑ, ένα θύμα θα μπορούσε να επικαλεσθεί τον νόμο για απάτη και εκμετάλλευση υπολογιστών, ενώ στο Ηνωμένο Βασίλειο υπάρχει ο νόμος για την κακή χρήση των ηλεκτρονικών υπολογιστών. Δυστυχώς, όπως και στις περισσότερες περιπτώσεις εγκλημάτων στον κυβερνοχώρο, η εξεύρεση του δράστη είναι εξαιρετικά δύσκολη, αν όχι αδύνατη.

Αρκεί Μία Σπίθα Για Να Εξαπλωθεί Χωρίς Έλεγχο

Μόλις πριν από ένα χρόνο, η έννοια του cryptojacking δεν υπήρχε καν. Σήμερα, συνεχίζουμε να διαβάζουμε όλο περισσότερο ειδήσεις σχετικές με τους coinjackers που αναπτύσσουν πιο εξελιγμένες μεθόδους διείσδυσης, εκμεταλλευόμενοι τα διάφορα κενά ασφαλείας.

Παραθέτουμε μερικά παραδείγματα που έκαναν πρόσφατα την εμφάνισή τους στα πρωτοσέλιδα:

  • Το Coinhive παραβιάστηκε από τους cybercriminal για κύματα επιθέσεων, μέσω Browsealoud, ένα δημοφιλές plugin που εμφανίζεται σε 4.200 ιστότοπους, συμπεριλαμβανομένου του γραφείου του Επιτρόπου Πληροφόρησης του Ηνωμένου Βασιλείου.
  • Δημοφιλείς εφαρμογές ανταλλαγής μηνυμάτων μεταξύ των υπολογιστών, όπως το Telegram, παραβιάστηκαν και χρησιμοποιήθηκαν για την μεταφορά crypto currency miners σε θύματα. Ακόμη και κάποιες διαφημίσεις του YouTube παρείχαν το Coinhive για εξόρυξη Monero.
  • Μέσω του Wi-Fi σε κατάστημα Starbucks στο Buenos Aires παραδόθηκε κώδικας mining σε ανύποπτους χρήστες
  • Χρησιμοποιήθηκαν servers συστημάτων βιομηχανικού ελέγχου (ICS) και SCADA (εποπτικός έλεγχος και απόκτηση δεδομένων) για την εξόρυξη του Monero.

To Cryptojacking Ήρθε Για Μείνει

Υπάρχουν πολλοί λόγοι που το αποδεικνύουν:

  • Ο αριθμός ψηφιακών νομισμάτων που διατίθενται μέσω του διαδικτύου αυξάνεται, καθώς μπορεί να δημιουργηθεί ένα νέο ανά πάσα στιγμή. Στα μέσα Απριλίου 2018 υπήρχαν περισσότεροι από 1.550 τύποι νομισμάτων σε περισσότερες από 10.000 αγορές αξίας άνω των 320 δισεκατομμυρίων δολαρίων.
  • Καθώς το ποσοστό των επιθέσεων ransomware μειώνεται, αυξάνεται το παράνομο cryptomining. Όπως δείχνουν οι αναφορές της Bitdefender, αυτή είναι μια νέα τάση που δείχνει την αυξανόμενη δημοτικότητα του cryptojacking.
  • Ο κόσμος είναι γεμάτος από ευάλωτες συνδεδεμένες στο διαδίκτυο συσκευές και συστήματα, ενώ οι μέθοδοι διείσδυσης γίνονται όλο και πιο εξελιγμένες. Για παράδειγμα, μερικές επιθέσεις αποφεύγουν την πλήρη χρήση του CPU προκειμένου να παραμείνουν αόρατες για μεγαλύτερο χρονικό διάστημα.
  • Τα θύματα παύουν σιγά σιγά να είναι απλοί χρήστες καθώς οι νέοι στόχοι είναι μεγάλα data centers και δομές cloud. Αυτή η προοπτική είναι ακόμα πιο ανησυχητική, διότι στην προσπάθειά τους να διεισδύσουν, οι coinjackers θα μπορούσαν πιθανώς να εκμεταλλευτούν άλλες αδυναμίες ασφαλείας.

Μπορούν Οι Οργανισμοί Να Προστατευτούν Από Το Cryptojacking?

Το Cryptojacking φέρνει προβλήματα όπως υψηλότερους λογαριασμών ενέργειας και υποβάθμιση της επεξεργαστικής δύναμης των υπολογιστών, αλλά χρησιμοποιεί επίσης τρωτά σημεία ασφαλείας, τα οποία θα μπορούσαν να αποβούν μοιραία για τη φήμη και τη συνέχεια της επιχείρησής σας. Βεβαιωθείτε ότι είστε προετοιμασμένοι για μία επερχόμενη πιθανή έξαρση των επιθέσεων cryptojacking.

Το Cryptojacking αποφέρει πολλά κέρδη και θεωρείται χαμηλού κινδύνου έγκλημα στο διαδίκτυο, τουλάχιστον σε σύγκριση με άλλους τύπους επιθέσεων, και είναι κάτι που προτιμούν οι εγκληματίες. Και όταν πρόκειται για την επιλογή του θύματος, τόσο εκείνο είναι μεγαλύτερο, τόσο το καλύτερο. Βασικά, όλοι οι οργανισμοί που χρησιμοποιούν ξεπερασμένο λογισμικό στην υποδομή τους διατρέχουν σοβαρό κίνδυνο. Υπήρξαν αρκετές περιπτώσεις μόλυνσης ενός cryptocurrency malware που εκμεταλλευθηκε γνωστά exploits όπως το EternalBlue και το DoublePulsar που χρησιμοποιούσε η WannaCry – για αυτό και εύστοχα ονομάστηκε WannaMine. Μία ευπάθεια του WebLogic Server της Oracle (CVE-2017-10271) χρησιμοποιήθηκε για την διασπορά miners σε servers από πανεπιστήμια και ερευνητικά ιδρύματα.

Το ελάχιστο που μπορούν να κάνουν οι εταιρείες είναι να εγκαταστήσουν patches στα συστήματά τους, όπως στο παραπάνω παράδειγμα, η Oracle είχε εκδώσει ένα patch που δεν είχε εγκατασταθεί. Επιπλέον, μια προσεκτικότερη παρακολούθηση των πόρων των συστημάτων μπορεί να αποτρέψει την κλιμάκωση της διασποράς μέσω της έγκαιρης παρέμβασης όταν εντοπιστούν μη φυσιολογικές εξάρσεις της CPU. Λάβετε υπόψη ότι, προκειμένου να αποφευχθεί η ανίχνευση, ορισμένα κακόβουλα προγράμματα σχεδιάζονται για να λειτουργούν εκτός ωρών λειτουργίας.

Δεδομένου των εξελιγμένων επιθέσεων, είναι σημαντικό να προλαμβάνουμε και να ανιχνεύουμε επιθέσεις cryptojacking (τόσο file based όσο και fileless) κατά τη διάρκεια διαφόρων σταδίων της επίθεσης, τόσο στα data centers όσο και στα endpoints. Τα endpoints είναι τα προτιμώμενα σημεία εισόδου που συχνά επιτρέπουν την πλευρική εξάπλωση του κακόβουλου λογισμικού. Οι επιθέσεις που βασίζονται σε αρχεία και script – όπως το Powershell, το cmd και το wscript – ανιχνεύονται σε  pre-execution στάδιο από την τεχνολογία HyperDetect της Bitdefender, ενώ η τεχνολογία Process Inspector ενισχύει αυτές τις δυνατότητες στο execution στάδιο.

Για να προστατευθούν τα data centers από τέτοιου είδους επιθέσεις όπως τον Wannamine, η Bitdefender προσφέρει ισχυρή τεχνολογία πρόληψης – το Hypervisor Introspection, που είναι ικανό να υπερασπιστεί zero day vulnerabilities και εξελιγμένες απειλές, είτε πρόκειται για την διασπορά cyberespionage malware είτε για την εγκατάσταση cryptocurrency λογισμικού.

Είναι σημαντικό να αποτρέψετε και να ανιχνεύσετε τις cryptojacking επιθέσεις (file based και fileless) κατά τη διάρκεια διαφόρων σταδίων της επίθεσης, τόσο στα data centers όσο και στα endpoints. Το Bitdefender GravityZone Elite παρέχει ασφάλεια επόμενης γενιάς, η οποία βοηθάει σημαντικά αυτό, ενώ η τεχνολογία προστασίας μνήμης μπορεί να ανιχνεύσει οποιονδήποτε exploit-enabled delivery μηχανισμό που θα προσπαθήσει να διανείμει λογισμικό κρυπτογράφησης στα endpoints.