Πώς το mining κρυπτονομισμάτων γίνεται το νέο «el dorado» των hackers

Η εξόρυξη κρυπτονομισμάτων (mining) φαίνεται πως αποτελεί το νέο «el dorado» των εγκληματιών του διαδικτύου, καθώς παρά τις έντονες αυξομειώσεις στην συγκεκριμένη αγορά, η διόγκωση της αξίας του Bitcoin κατά το περασμένο έτος έστρεψε το ενδιαφέρον προς αυτή. Μάλιστα, μια τέτοια ομάδα εξελιγμένων hackers κατάφερε μέσα σε μόλις 6 μήνες να κερδίσει τουλάχιστον 7 εκατομμύρια δολάρια, εκμεταλλευόμενη τα θύματα τους.

Οι ψηφιακοί εγκληματίες έχουν αρχίσει να χρησιμοποιούν εξελιγμένες μεθόδους «μόλυνσης» και τεχνικές δανεισμένες από στοχευμένες επιθέσεις, προκειμένου να εγκαταστήσουν λογισμικό εξόρυξης με αλγόριθμους (mining) σε υπολογιστές που έχουν δεχτεί επίθεση εντός οργανισμών. Σε αντίθεση με τα ransomware, δεν καταστρέφει ολοκληρωτικά τους χρήστες και είναι σε θέση να παραμείνει μη ανιχνεύσιμο για μεγάλο χρονικό διάστημα χρησιμοποιώντας την ισχύ του υπολογιστή.

Οι ερευνητές της ρωσικές εταιρείας λογισμικού προστασίας Kaspersky Lab, εντόπισε πρόσφατα μια ομάδα ψηφιακών εγκληματιών, οι οποίοι χρησιμοποιώντας προηγμένες τεχνικές επίθεσης (τύπου APT) κατάφεραν να «μολύνουν» τους χρήστες με miners.

Οι hackers χρησιμοποίησαν τη μέθοδο process-hollowing, που χρησιμοποιείται συνήθως σε κακόβουλο λογισμικό και έχει παρατηρηθεί σε μερικές στοχευμένες επιθέσεις από φορείς επιθέσεων τύπου APT, αλλά δεν έχει παρατηρηθεί ποτέ σε επιθέσεις εξόρυξης.

Η επίθεση λειτουργεί με τον ακόλουθο τρόπο: το θύμα προσελκύεται ώστε να «κατεβάσει» και να εγκαταστήσει λογισμικό διαφήμισης με το miner installer κρυμμένο στο εσωτερικό του. Αυτό το πρόγραμμα εγκατάστασης αποβάλλει ένα νόμιμο βοηθητικό πρόγραμμα των Windows, με κύριο σκοπό τη λήψη του ίδιου του miner από έναν απομακρυσμένο server. Μετά την εκτέλεσή του, ξεκινά μια νόμιμη διαδικασία συστήματος και ο νόμιμος κώδικας αυτής της διαδικασίας αλλάζει σε κακόβουλο κώδικα. Ως αποτέλεσμα, το miner λειτουργεί με το πρόσχημα μιας νόμιμης εργασίας, οπότε θα είναι αδύνατο για έναν χρήστη να αναγνωρίσει εάν υπάρχει «μόλυνση» εξόρυξης. Είναι επίσης δύσκολο για λύσεις ασφάλειας να ανιχνεύσουν αυτήν την απειλή. Επιπλέον, τα miners σηματοδοτούν αυτή τη νέα διαδικασία με τρόπο που περιορίζει οποιαδήποτε ακύρωση εργασιών. Αν ο χρήστης προσπαθήσει να σταματήσει τη διαδικασία, το σύστημα του υπολογιστή θα επανεκκινήσει. Ως αποτέλεσμα, οι εγκληματίες προστατεύουν την παρουσία τους στο σύστημα για μεγαλύτερο και παραγωγικότερο χρονικό διάστημα.

Με βάση τις παρατηρήσεις της Kaspersky Lab, οι φορείς πίσω από αυτές τις επιθέσεις εξόρυξαν νομίσματα Electroneum (56ο σε κεφαλαιοποίηση μεταξύ των κρυπτονομισμάτων) και κέρδισαν σχεδόν $7 εκατομμύρια κατά το δεύτερο εξάμηνο του 2017, μέγεθος συγκρίσιμο με τα ποσά που κέρδιζαν οι δημιουργοί προγραμμάτων ransomware.

«Βλέπουμε ότι το ransomware ξεθωριάζει, αλλά δίνει χώρο στα miners. Αυτό επιβεβαιώνεται από τα στατιστικά στοιχεία μας, τα οποία δείχνουν μια σταθερή ανάπτυξη των miners καθ’ όλη τη διάρκεια του έτους, καθώς και από το γεγονός ότι οι ομάδες εγκληματικών οργανώσεων αναπτύσσουν ενεργά τις μεθόδους τους και έχουν ήδη αρχίσει να χρησιμοποιούν πιο εξελιγμένες τεχνικές για τη διάδοση λογισμικού εξόρυξης. Έχουμε ήδη δει μια τέτοια εξέλιξη – οι χάκερ με προγράμματα ransomware χρησιμοποιούσαν τα ίδια κόλπα όταν ήταν σε άνοδο», δήλωσε ο Anton Ivanov, Lead Malware Analyst της Kaspersky Lab.

Συνολικά, 2,7 εκατομμύρια χρήστες δέχτηκαν επίθεση από κακόβουλα miners το 2017, σύμφωνα με τα δεδομένα της Kaspersky Lab. Μέγεθος περίπου 50% υψηλότερο σε σύγκριση με το 2016 (1,87 εκατ.). Οι άνθρωποι πέφτουν θύματα εξαιτίας adware, πειρατικών παιχνιδιών και πειρατικού λογισμικού που χρησιμοποιούν οι ψηφιακοί εγκληματίες για να «μολύνουν» κρυφά τους υπολογιστές τους. Μια άλλη προσέγγιση που χρησιμοποιήθηκε ήταν η διαδικτυακή εξόρυξη μέσω ειδικού κώδικα που βρίσκεται σε «μολυσμένη» ιστοσελίδα. Το πιο ευρέως χρησιμοποιούμενο miner ήταν το CoinHive, που ανακαλύφθηκε σε πολλές δημοφιλείς ιστοσελίδες.