Do cryptojacking’u hakerzy wykorzystują komputery stacjonarne, laptopy, smartfony, ale nie tylko. Coraz częściej ofiarą „łowców bitcoinów” padają publiczne i sieciowe serwery oraz usługi w chmurze.
- Celem takiego ataku jest wykorzystanie zasobów obliczeniowych urządzenia ofiary przy jednoczesnym pozostawieniu po sobie minimalnych śladów. Aby to osiągnąć cyberprzestępcy stosują wyrafinowane metody, które pozwalają uniknąć wykrycia ataku przez dłuższy czas – tłumaczy Marcin Badura, DevOps Tech Lead w SoftServe Poland.
Koszty ataku spadają na ofiarę
Jedyną motywacją ataku cryptojacking’owego jest zysk. Włamanie się do wybranego urządzenia pozwala przestępcom wydobywać kryptowalutę bez płacenia za energię elektryczną, sprzęt i inne zasoby potrzebne do kopania np. bitcoinów. A zarówno koszty, jak i zasoby potrzebne kryptowalutom, są ogromne i obciążają ofiarę ataku. Tworzenie tylko Bitcoina zużywa rocznie 121 terawatogodzin energii elektrycznej, czyli więcej niż zużywa cała Holandia czy Filipiny1. Zużycie energii podczas wydobywania bitcoinów stało się w ostatnich latach przedmiotem debaty i niepokoju w wielu krajach świata.
Według platformy analitycznej Statista, w latach 2018-2022 liczba prób cryptojacking’u na całym świecie stopniowo rosła. W 2022 r. liczba takich incydentów wyniosła blisko 140 milionów. Stanowiło to wzrost o 43 procent w porównaniu z rokiem poprzednim2. W 2021 roku 69% badanych firm doświadczyło nielegalnego wydobywania kryptowalut na swoich maszynach serwerowych.
- Programy cryptojackingowe mogą zostać zainstalowane na komputerze lub serwerze ofiary za pośrednictwem phishingu, zainfekowanych stron internetowych lub innych metod typowych dla ataków złośliwego oprogramowania. Mogą to być również małe fragmenty kodu wstawiane do reklam cyfrowych lub stron internetowych, które działają tylko wtedy, gdy ofiara odwiedza określoną witrynę – wyjaśnia Mariusz Żyła, Senior DevOps Engineer w SoftServe Poland. W trzecim kwartale 2022 r. badacze z firmy Kaspersky zaobserwowali gwałtowny wzrost liczby wersji programów do nielegalnego kopania kryptowalut - ponad 230% w porównaniu z tym samym okresem ubiegłego roku. Liczba ta jest trzykrotnie większa niż w trzecim kwartale 2021 r. i obecnie przekracza 150 000.
Atak cryptojacking’owy – najważniejsze symptomy
Wykrycie cryptojacking’u z założenia nie jest łatwe. Jest zwykle dobrze ukryty albo objawia się zwiększoną aktywnością podzespołów zaatakowanego urządzenia. Są trzy główne symptomy, na które trzeba zwrócić uwagę. Po pierwsze, spadek wydajności urządzeń komputerowych. Wolniejsza praca komputera może być istotnym sygnałem. Podobnie jak szybsze niż zwykle rozładowywanie się baterii. Po drugie, silne przegrzewanie się urządzeń. Szybsza praca wentylatora, np. w laptopie, oznacza wzrost temperatury, który może być spowodowany działaniem skryptu cryptojacking’owego. I po trzecie, najmniej dostrzegalny może być wzrost użycia procesora podczas niewielkich aktywności komputera. W tym przypadku pomocne będzie oprogramowanie do monitoringu pracy CPU.
O ataku zaalarmował rachunek
Atak cryptojacking’owy na „prywatną” ofiarę jest bolesny, ale ze względu na skalę może to być stosunkowo mało kosztowny problem (choć nie jest to reguła). Zdecydowanie w trudniejszej sytuacji mogą znaleźć się firmy wykorzystujące rozbudowaną infrastrukturę IT. Tego właśnie doświadczył jeden z amerykańskich startupów, któremu eksperci z SoftServe Poland pomagali naprawić szkody wyrządzone przez cryptojacking i zabezpieczyć przed kolejnymi.
- Firma pracowała na wirtualnym serwerze w chmurze, który był słabo zabezpieczony i bez systemu alertów na wszystkich poziomach. W efekcie doszło do niewykrywalnego ataku kryptowalutowego, który trwał prawie półtora miesiąca. O incydencie zaalarmował firmę dopiero rachunek otrzymany od dostarczyciela usług chmurowych. Był 20-krotnie wyższy niż zwykle. To były ogromne, jak na ten startup, pieniądze. Udało się jakoś wybrnąć z tej kosztownej sytuacji, ale nie dla wszystkich firm takie ataki mają dobre zakończenie – przyznaje Marcin Badura.
Zdaniem eksperta, bez względu na to, z którego dostarczyciela usług chmurowych korzysta firma, odpowiedzialność za bezpieczeństwo zawsze spoczywa na jej barkach. Dotyczy to zarówno przydzielania uprawnień na serwerze, jak i wdrożenie systemu monitoringowego. Koszty związane z budowaniem bezpiecznej infrastruktury IT niemal zawsze będą niższe niż skutki ataków cryptojackingowych.
Źródło: materiały prasowe
