slider

Botnety znovu útočí a získávají kryptoměnu prostřednictvím počítačů nicnetušících uživatelů

13.09.2017

Kaspersky Lab identifikoval dva botnety, které tvoří počítače infikované malwarem. Ten do nich v tichosti instaluje legální software pro získávání kryptoměn, tzv. minery, který generuje virtuální měnu na základě technologie blockchain. V jednom konkrétním případě odborníci odhadují, že jediná síť čítající 4 000 zařízení mohla zločincům vydělat až 30 000 dolarů (téměř 650 000 Kč) měsíčně. V jiném případě kyberzločinci prostřednictvím botnetu z 5 000 počítačů vytěžili více než 200 000 dolarů (okolo 4,35 milionu Kč).

Podstata Bitcoinu a dalších kryptoměn je založena na tom, že kromě jejího nákupu může uživatel vytvořit i její novou jednotku. Toho dosáhne díky využití výpočetního výkonu zařízení s nainstalovaným speciálním miningovým softwarem. Zároveň podle konceptu kryptoměň platí, že čím více jednotek se generuje, tím více času a výpočetního výkonu je zapotřebí k vytvoření nové jednotky. Instalovat potajmu do počítačů svých obětí malware, který využil jejich výkon k získávání kryptoměn, bylo před několika lety zcela běžnou kyberzločineckou praxí. Čím více Bitcoinů však bylo vytěženo, tím obtížnější bylo získat nové. V určitém okamžiku se tak tento proces přestal vyplácet. Vynaložená snaha a investice potřebné k vytvoření a distribuci softwaru, včetně jeho infrastruktury, začaly převyšovat potencionální finanční zisk ze získání Bitcoinů.

Nicméně hodnota Bitcoinu, vůbec první a nejznámější kryptoměny, která v průběhu pár let vystoupala z řádu stovek dolarů na tisíce za jednu jednotku, zapříčinila enormní celosvětový zájem o tuto měnu. Stovky nadšenců a startupů poté začaly vydávat své vlastní bitcoinové alternativy, z nichž mnohé v poměrně krátkém časovém období získaly významnou tržní hodnotu. Tyto tržní změny vyvolaly zájem kyberzločinců, kteří se vrátili k původním podvodným praktikám. Nyní se tak opět v tisících počítačů objevují potajmu nainstalované softwary pro získávání kryptoměn.

Na základě analýzy nově objevených botnetů odborníci Kaspersky Lab zjistili, že jejich původci k distribuci mining softwaru využívají adware programy. Ty si uživatelé instalují zcela dobrovolně. Po jejich instalaci se dodatečně automaticky stáhne škodlivý miner installer. Ten nainstaluje software pro získávání kryptoměny a provede další činnosti k zajištění co nejdelšího fungování. Tyto činnosti zahrnují:

  • Pokus deaktivovat bezpečnostní software.
  • Sledování všech spuštěných aplikací a pozastavení vlastních aktivit, pokud se spustí program, který sleduje činnost systému nebo běžící procesy.
  • Záruku, že je kopie mining softwaru vždy nainstalovaná na pevném disku, aby mohla být obnovena v případě vymazání softwaru.

Hned po vytěžení prvních jednotek kryptoměny je software odešle do peněženek kyberzločinců. Jediné, čeho si uživatel všimne, je nižší výkon počítače a o něco vyšší účet za elektřinu. Podle pozorování odborníků z Kaspersky Lab se zločinci zaměřují na dvě kryptoměny: Zcash a Monero. Důvodem je pravděpodobně jejich schopnost anonymizace transakcí a majitelů peněženek.

První náznak návratu škodlivých minérů zaznamenali odborníci Kaspersky Lab v prosinci 2016. Bezpečnostní analytik tehdy objevil minimálně tisíc počítačů infikovaných malwarem, který sloužil k získávání měny Zcash. Tato kryptoměna byla v té době v oběhu pouhé dva měsíce a její hodnota strmě stoupala. Díky tomu mohl tento botnet kyberzločincům vydělat až 6 000 dolarů (130 000 Kč) týdně. Odborníci následně předpověděli vznik nových podobných botnetů, což výsledky nedávného průzkumu potvrzují.

„V případě škodlivých minerů spočívá hlavní problém v tom, že je velmi obtížné spolehlivě detekovat jejich činnost. Malware totiž využívá zcela legální software pro získávání kryptoměn, který za běžných okolností využívají i oprávnění uživatelé. Znepokojující je také fakt, že se škodlivé minery stávají cenným zbožím na černém trhu. Zde jsme zaznamenali zločince, kteří nabízeli takzvané miner builders – software, jehož plná verze umožňuje vytvoření vlastních miningových botnetů. Proto se domníváme, že doposud identifikované botnety nebudou zdaleka poslední,“ říká, Evgeny Lopatin, malwarový analytik ve společnosti Kaspersky Lab.

V průběhu několika posledních let se výrazně zvýšil celkový počet uživatelů, kteří se setkali s minery pro získávání kryptoměn. Například v roce 2013 ochránily produkty Kaspersky Lab po celém světě okolo 205 000 uživatelů, na které tento typ hrozby cílil. V roce 2014 jejich počet stoupl na 701 000, a jen za prvních 8 měsíců tohoto roku už bylo napadeno 1,65 milionu uživatelů.

  • Počet uživatelů ochráněných produkty Kaspersky Lab před škodlivými minery kryptoměn mezi lety 2011 a 2017

Aby se z počítačů běžných uživatelů nestaly žrouti energie, kteří vydělávají peníze pro zločince, doporučují odborníci Kaspersky Lab následující opatření:

  • Neinstalujte si do počítače podezřelý software pocházející z neznámých zdrojů.
  • Ujistěte se, že máte v rámci svého bezpečnostního řešení aktivní detekci adwaru.
  • Využívejte účinné řešení zabezpečení internetu, abyste ochránili svá zařízení před všemi druhy hrozeb včetně škodlivých minerů.
  • Pokud využíváte server, ujistěte se, že je chráněn bezpečnostním řešením. Servery totiž vzhledem ke svému vyššímu výpočetnímu výkonu představují pro kyberzločince lukrativnější cíl.

Produkty Kaspersky Lab úspěšně detekují a blokují malware šířící miningový software jako:

  • RiskTool.Win32.BitCoinMiner.hxao
  • PDM:Trojan.Win32.Generic

Autor: Petr Smolník, šéfredaktor

Související články

DDoS Intelligence report za třetí čtvrtletí tohoto roku:

DDoS Intelligence report poukazuje na vyšší počet zemí, z nichž DDoS útoky pocházely a zároveň častější útoky na služby spojené...

Nový Corporate Sales Manager v Kaspersky Lab

Tomáš Barta nastoupil do společnosti Kaspersky Lab na pozici Corporate Sales Managera . Společně s Territory Channel Managerem Jindřichem Kochem budou podporovat a rozvíjet partnerskou a distribuční...

Další zero-day exploit byl odhalen v Adobe Flash

Nový exploit v Adobe Flash byl k útoku využit 10. října skupinou BlackOasis. Je šířen prostřednictvím Microsoft Word dokumentu, který obsahuje komerční malware FinSpy....

Ruské hackery na serverech Kaspersky odhalil Mossad

V červenci letošního roku byl software od Kaspersky Lab odebrán ze seznamu schválených vendorů pro poskytování IT podpory vládním agenturám v USA. V polovině...

kalendář akcí
Czech Smart City Cluster

Trendy evropské energetiky

21.11.2017
Univerzita Tomáše Bati ve Zlíně

Řízení procesů a aplikace moderních technologií - Kybernetická bezpečnost

22.11.2017 - 23.11.2017
BusinessIT

Datová centra pro business 2017

23.11.2017
itSMF/ Cacio

12. výroční konference itSMF Czech Republic

18.1.2018 - 19.1.2018
Terinvest

Amper 2018

20.3.2018 - 23.3.2018
banner