Niektóre witryny i aplikacje, które nie pobierają opłat za swoje usługi, znalazły nowy sposób na zarobek: używanie twojego komputera do generowania (wydobywania) walut wirtualnych. Nieprawdopodobny wzrost wartości kryptowaluty typu Bitcoin skoncentrował na niej uwagę cyberprzestępców a cryptojacking na naszych oczach staje się jednym z największych zagrożeń dla bezpieczeństwa sieci. Analitycy z firmy Fortinet odkrywają w ostatnim czasie coraz więcej podobnych incydentów, nazywając cryptojacking kolejną plagą cyber-oszustw zaraz po atakach wyłudzających okup za pomocą wirusa ransomware.
Czym jest cryptojacking?
Jednostki kryptowalut, takich jak Bitcoin, nie są tworzone przez bank centralny jak zwykłe pieniądze, ale generowane lub raczej “wydobywane” przez komputery rozwiązujące złożone równania. Cryptojacking polega na korzystaniu z czyjegoś komputera bez jego wiedzy. Korzystanie może trwać tylko przez kilka sekund, ale służy jednemu celowi – wydobyciu kryptowaluty. W przypadku Bitcoinów wydobycie wymaga specjalistycznego sprzętu i zużywa masę energii. Przykładowo, każda transakcja Bitcoinami zajmuje wystarczająco dużo energii, aby zagotować około 36 000 czajników napełnionych wodą. W ciągu 2017 roku cała sieć wydobywcza Bitcoin zużyła więcej energii niż Irlandia.
Bitcoin nie jest jedyny. Istnieje wiele konkurencyjnych kryptowalut. Jedną z najbardziej „udanych” jest Monero, dysponujący konkretnym stopniem prywatności w transakcjach (coś, czego Bitcoin nie robi). Monero, w przeciwieństwie do Bitcoina, nie wymaga specjalistycznego sprzętu do wydobywania. Każdy, kto ma odpowiednią moc obliczeniową, może go wydobywać. Właśnie dlatego wydobywanie Monero bije dzisiaj rekordy popularności. Szczególnie wśród hackerów.
Cryptojacking – nowa, a już niezwykle popularna forma ataku
Może twój komputer jest już kopalnią kryptowaluty? Aby zostać zainfekowanym, „kopalnianym” wirusem i wpaść w szał wydobywania, nie trzeba ściągać żadnych zarażonych plików, wystarczy znaleźć się nie tam, gdzie trzeba – na zainfekowanej stronie internetowej: sklepu, bloga, serwisu, zainfekowanej stronie firmy czy urzędu. Skrypt został napisany w JavaScript i można z łatwością osadzić go na dowolnej stronie. Nic szczególnego. Końcem roku 2017 media informowały o skryptach cryptojackingowych zainstalowanych na stronach kilku polskich gmin. Prosta metoda infekcji, duże zyski oraz pozostawanie w ukryciu, czego więcej potrzeba cyberprzestępcom? Tym sposobem najpopularniejsze w ostatnich latach zagrożenie – wirus ransomware służący do szyfrowania danych – odchodzi do lamusa. Najgroźniejszy atak przyjmuje nową funkcję, nie będzie wyłudzał okupu, będzie kopał!
Hakerzy używają takiego owładniętego kopaniem sprzętu jako koparki kryptowaluty. Przejęcie komputera ofiary bez jej zgody może przebiegać w sposób zupełnie niezauważalny, objawiając się jedynie chwilowym spowolnieniem maszyny. Zanim ofiara zauważy, że jej komputer spełnia w ostatnim czasie rolę kopalni czy górnika (o ile zauważy), przestępca już dawno zdąży osiągnąć swój cel. Więc, mimo że cena Monero jest niższa nić Bitcoina, to i tak poprzez łatwość infekcji, bezkarność i z wartością monety równą 400$ stanowi łakomy kąsek.
Jak przebiega wydobywanie?
Wydobywanie kryptowaluty zwykle przybiera formę konkursu. Bez względu na to, który komputer rozwiąże równanie, ten który zrobi to najszybciej jest nagradzany. Dzięki Moreno i innym podobnym kryptowalutom pula komputerów może współpracować i dzielić się nagrodą, jeśli wygra z konkurencją. Dzięki temu poszczególne komputery mogą “wydobywać” na niewielkim obciążeniu pamięci komputera – w tle. Gdy komputer zostanie odpowiednio zaszyfrowany, jest dodawany do puli zawodników. Szyfrowanie odbywa się za pomocą dostępnego na rynku oprogramowania, takiego jak Coinhive, które można zapisać przy użyciu języka JavaScript w witrynie, w języku przypominającym reklamę. Ponieważ reklama działa w tle, komputer jest dodawany do puli.
Maszyna Ci zwalnia?
Doradzamy, aby w wypadku zauważalnego a niewytłumaczalnego obciążenia pamięci komputera (użytkownicy Pirate Bay skarżyli się, że ich procesory zużywają do 85% ich pojemności w porównaniu z niecałymi 10% przy normalnych operacjach) sprawdzić wykaz uruchomionych procesów. Jeśli nie ma podstaw do takiego osłabienia mocy procesora należy zamknąć (jeśli jest otwarta) przeglądarkę internetową. Zakończy to połączenie ze stroną, która została zainfekowania. Po zamknięciu przeglądarki można odpalić ją ponownie, należy jednak pamiętać, aby unikać zarażonej strony. Szacuje się, że ok. 220 na 1000 stron internetowych prowadzi cryptojacking. Jeśli chcesz uniemożliwić szyfrowanie komputera, potrzebujesz narzędzia – programu, który sprawdza kod podczas działania, taki jak blokowanie reklam. Najlepszym rozwiązaniem jest zainstalowanie na komputerze oprogramowania antymalware’owego, anywirusowego, rozwiązania blokującego zainfekowane strony internetowe i włączenie blokera reklam. Obecnie powstają rozszerzenia do przeglądarek blokujące witryny ze skryptem Coinhive.
I nie oszukujmy się, że nie płacimy za „darmowe” usługi. Płacimy, choć często nic o tym nie wiedząc.
Redaktorka Net Complex Blog