בוטנטים חדשים לכריית מטבעות וירטואלים מדביקים אלפי מחשבים
עמי רוחקס דומבה
| 03/10/2017
bigstockphoto.com
הארכיטקטורה של הביטקוין ומטבעות קריפטוגרפיים אחרים בנויה כך, שמעבר לרכישה של מטבע קריפטוגרפי, משתמש יכול גם לייצר מטבעות חדשים באמצעות שימוש בכח המחשוב של מכונות עליהן הותקנה תוכנת "כרייה". על פי המבנה הכלכלי של מטבעות אלה, ככל שמיוצרים יותר מטבעות, כך נדרש יותר זמן וכח מחשוב כדי ליצור מטבע חדש.
לפני מספר שנים, קוד זדוני להתקנה חשאית של כורי ביטקוין (המשתמשים במחשבים של הקורבנות כדי לכרות מטבע עבור העבריינים) היה שכיח באופק האיומים. אבל ככל שנוצרו יותר מטבעות ביטקוין, הכרייה של מטבעות חדשים הפכה לקשה יותר – ובנקודה מסוימת התהליך הפך לחסר תוחלת: הרווח הפיננסי האפשרי שעבריינים קיבלו מכריית הביטקוין לא החזיר את ההשקעה שנדרשה ליצירת והפצת הקוד הזדוני ועלות והתמיכה בתשתית הנדרשת.
אך מאז זינק המחיר של הביטקוין – המטבע הקריפטוגרפי הנפוץ ביותר – משווי של כמה מאות דולרים למטבע לכמה אלפים. הזינוק במחירים הצית ברחבי העולם בהלה למטבע הקריפטוגרפי, ומאות קבוצות וסטרטאפים החלו להשיק חלופות לביטקוין, שרבות מהן גם הצליחו להשיג ערך משמעותי בזמן קצר יחסית.
שינויים אלה בשוק המטבעות הקריפטוגרפיים משכו את תשומת הלב של עברייני הסייבר, אשר חזרו לתוכנית ההונאה שננטשה. על פי תוצאות מחקר של מומחי מעבדת קספרסקי, העבריינים מאחורי הבוטנטים החדשים שנחשפו מפיצים את תוכנת הכרייה בסיוע תוכנות להשתלת פרסומות שהקורבנות מתקינים באופן רצוני. לאחר שתוכנת הפרסום מותקנת במחשב הקורבן היא מורידה רכיב זדוני: מתקין הכרייה. הרכיב מתקין את תוכנת הכרייה, ובנוסף מבצע מספר פעולות כדי להבטיח שהכורה יעבוד זמן רב ככל הניתן. פעולות אלו כוללות:
ניסיון לשבש את תוכנת האבטחה
ניטור כל היישומים המופעלים, והשהייה של פעילות הכרייה באם מופעלת תוכנה המנטרת פעילות או תהליכים
התוכנה מבטיחה כי תמיד ישמר על הדיסק הקשיח עותק של תוכנת הכרייה, כדי לאחזרה במקרה והיא נמחקת
ברגע שנכרים המטבעות הראשונים הם מועברים לארנק השייך לעבריינים, והם מותירים את הקורבנות עם מחשבים עם ביצועים גרועים וחשבון חשמל גבוה מהרגיל. על פי תצפיות של מעבדת קספרסקי, עבריינים נוטים לכרות שני מטבעות קריפטוגרפיים: Zcash ו- Monero. כנראה שמטבעות מסוימים אלה נבחרו מכיוון שהם מספקים דרך אמינה לבצע פעולות אנונימיות.
הסימן הראשון לחזרתם של הכורים הזדוניים זוהה על ידי מעבדת קספרסקי עוד בדצמבר 2016, כאשר חוקר דיווח על לפחות 1,000 מחשבים שהודבקו בקוד זדוני שכרה Zcash – מטבע קריפטוגרפי אשר הושק בסוף אוקטובר 2016. באותו הזמן – הודות לעליה המהירה במחיר ה- Zcash – הבוטנט הצליח לייצר לבעליו כ- 6,000 דולר בשבוע. הצמיחה של הבוטנטים החדשים לכרייה הייתה צפויה, והתוצאות של המחקר החדש מאמתות את החשש.
"הבעיה המרכזית עם כורים זדוניים היא שקשה מאוד לזהות את הפעילות שלהם באופן עקבי, מכיוון שהם מתבססים על תוכנת כרייה לגיטימית לחלוטין. באותה המידה, היא הייתה יכולה להיות מותקנת במצב אחר על ידי המשתמש. דבר מדאיג נוסף שזיהינו במהלך התצפית על הבוטנטים החדשים, הוא שהכורים הזדוניים עצמם הופכים לבעלי ערך בעולם התחתון. ראינו עבריינים מציעים 'בוני כורים': תוכנה המאפשרת לכל מי שמוכן לשלם על הגרסה המלאה ליצור בעצמו בוטנט לכרייה. המשמעות היא שהבוטנטים שזיהינו כעת הם לבטח לא האחרונים", אמר יבגני לופטין, אנליסט קוד זדוני, מעבדת קספרסקי.
באופן כללי, מספר המשתמשים שנתקל בכורים קריפטוגרפיים צמח באופן משמעותי בשנים האחרונות. לדוגמא, ב- 2013, מוצרי מעבדת קספרסקי הגנו על 205 אלף משתמשים ברחבי העולם אשר הותקפו על ידי איום מסוג זה. ב- 2014 מספר זה צמח ל- 701,000, ומספר המשתמשים המותקפים ב- 8 החודשים הראשונים של 2017 הגיע ל- 1.65 מיליון.
כדי למנוע מהמחשבים שלכם מלהפוך למכשירי כספומט ברשות העבריינים, חוקרי מעבדת קספרסקי מייעצים למשתמשים לעקוב אחר האמצעים הבאים:
אל תתקינו במחשב תוכנות חשודות ממקור בלתי מוכר
המאפיין לזיהוי תוכנות פרסום עלול להיות מנוטרל בפתרון האבטחה שלכם כברירת מחדל. ודאו כי הפעלתם אותו.
השתמשו בפתרון אבטחת אינטרנט מוכח כדי להגן על הסביבה הדיגיטלית שלכם מכל האיומים האפשריים, כולל כורים זדוניים
אם אתם מפעילים שרת, ודאו כי הוא מוגן באמצעות פתרון אבטחה, מאחר ושרתים הם מטרות יוקרתיות עבור העבריינים, הודות לביצועי המחשוב הגבוהים שלהם (בהשוואה למחשב האישי הממוצע).
למידע נוסף - כאן
bigstockphoto.com
הארכיטקטורה של הביטקוין ומטבעות קריפטוגרפיים אחרים בנויה כך, שמעבר לרכישה של מטבע קריפטוגרפי, משתמש יכול גם לייצר מטבעות חדשים באמצעות שימוש בכח המחשוב של מכונות עליהן הותקנה תוכנת "כרייה". על פי המבנה הכלכלי של מטבעות אלה, ככל שמיוצרים יותר מטבעות, כך נדרש יותר זמן וכח מחשוב כדי ליצור מטבע חדש.
לפני מספר שנים, קוד זדוני להתקנה חשאית של כורי ביטקוין (המשתמשים במחשבים של הקורבנות כדי לכרות מטבע עבור העבריינים) היה שכיח באופק האיומים. אבל ככל שנוצרו יותר מטבעות ביטקוין, הכרייה של מטבעות חדשים הפכה לקשה יותר – ובנקודה מסוימת התהליך הפך לחסר תוחלת: הרווח הפיננסי האפשרי שעבריינים קיבלו מכריית הביטקוין לא החזיר את ההשקעה שנדרשה ליצירת והפצת הקוד הזדוני ועלות והתמיכה בתשתית הנדרשת.
אך מאז זינק המחיר של הביטקוין – המטבע הקריפטוגרפי הנפוץ ביותר – משווי של כמה מאות דולרים למטבע לכמה אלפים. הזינוק במחירים הצית ברחבי העולם בהלה למטבע הקריפטוגרפי, ומאות קבוצות וסטרטאפים החלו להשיק חלופות לביטקוין, שרבות מהן גם הצליחו להשיג ערך משמעותי בזמן קצר יחסית.
שינויים אלה בשוק המטבעות הקריפטוגרפיים משכו את תשומת הלב של עברייני הסייבר, אשר חזרו לתוכנית ההונאה שננטשה. על פי תוצאות מחקר של מומחי מעבדת קספרסקי, העבריינים מאחורי הבוטנטים החדשים שנחשפו מפיצים את תוכנת הכרייה בסיוע תוכנות להשתלת פרסומות שהקורבנות מתקינים באופן רצוני. לאחר שתוכנת הפרסום מותקנת במחשב הקורבן היא מורידה רכיב זדוני: מתקין הכרייה. הרכיב מתקין את תוכנת הכרייה, ובנוסף מבצע מספר פעולות כדי להבטיח שהכורה יעבוד זמן רב ככל הניתן. פעולות אלו כוללות:
ניסיון לשבש את תוכנת האבטחה
ניטור כל היישומים המופעלים, והשהייה של פעילות הכרייה באם מופעלת תוכנה המנטרת פעילות או תהליכים
התוכנה מבטיחה כי תמיד ישמר על הדיסק הקשיח עותק של תוכנת הכרייה, כדי לאחזרה במקרה והיא נמחקת
ברגע שנכרים המטבעות הראשונים הם מועברים לארנק השייך לעבריינים, והם מותירים את הקורבנות עם מחשבים עם ביצועים גרועים וחשבון חשמל גבוה מהרגיל. על פי תצפיות של מעבדת קספרסקי, עבריינים נוטים לכרות שני מטבעות קריפטוגרפיים: Zcash ו- Monero. כנראה שמטבעות מסוימים אלה נבחרו מכיוון שהם מספקים דרך אמינה לבצע פעולות אנונימיות.
הסימן הראשון לחזרתם של הכורים הזדוניים זוהה על ידי מעבדת קספרסקי עוד בדצמבר 2016, כאשר חוקר דיווח על לפחות 1,000 מחשבים שהודבקו בקוד זדוני שכרה Zcash – מטבע קריפטוגרפי אשר הושק בסוף אוקטובר 2016. באותו הזמן – הודות לעליה המהירה במחיר ה- Zcash – הבוטנט הצליח לייצר לבעליו כ- 6,000 דולר בשבוע. הצמיחה של הבוטנטים החדשים לכרייה הייתה צפויה, והתוצאות של המחקר החדש מאמתות את החשש.
"הבעיה המרכזית עם כורים זדוניים היא שקשה מאוד לזהות את הפעילות שלהם באופן עקבי, מכיוון שהם מתבססים על תוכנת כרייה לגיטימית לחלוטין. באותה המידה, היא הייתה יכולה להיות מותקנת במצב אחר על ידי המשתמש. דבר מדאיג נוסף שזיהינו במהלך התצפית על הבוטנטים החדשים, הוא שהכורים הזדוניים עצמם הופכים לבעלי ערך בעולם התחתון. ראינו עבריינים מציעים 'בוני כורים': תוכנה המאפשרת לכל מי שמוכן לשלם על הגרסה המלאה ליצור בעצמו בוטנט לכרייה. המשמעות היא שהבוטנטים שזיהינו כעת הם לבטח לא האחרונים", אמר יבגני לופטין, אנליסט קוד זדוני, מעבדת קספרסקי.
באופן כללי, מספר המשתמשים שנתקל בכורים קריפטוגרפיים צמח באופן משמעותי בשנים האחרונות. לדוגמא, ב- 2013, מוצרי מעבדת קספרסקי הגנו על 205 אלף משתמשים ברחבי העולם אשר הותקפו על ידי איום מסוג זה. ב- 2014 מספר זה צמח ל- 701,000, ומספר המשתמשים המותקפים ב- 8 החודשים הראשונים של 2017 הגיע ל- 1.65 מיליון.
כדי למנוע מהמחשבים שלכם מלהפוך למכשירי כספומט ברשות העבריינים, חוקרי מעבדת קספרסקי מייעצים למשתמשים לעקוב אחר האמצעים הבאים:
אל תתקינו במחשב תוכנות חשודות ממקור בלתי מוכר
המאפיין לזיהוי תוכנות פרסום עלול להיות מנוטרל בפתרון האבטחה שלכם כברירת מחדל. ודאו כי הפעלתם אותו.
השתמשו בפתרון אבטחת אינטרנט מוכח כדי להגן על הסביבה הדיגיטלית שלכם מכל האיומים האפשריים, כולל כורים זדוניים
אם אתם מפעילים שרת, ודאו כי הוא מוגן באמצעות פתרון אבטחה, מאחר ושרתים הם מטרות יוקרתיות עבור העבריינים, הודות לביצועי המחשוב הגבוהים שלהם (בהשוואה למחשב האישי הממוצע).
למידע נוסף - כאן
