В последнее время совершается все больше преступлений, нацеленных на добычу криптовалюты, и причина тому проста — это прибыльно. Одной группировке кибермошенников, за которой специалисты следили последние полгода, удалось получить 7 млн долларов при помощи 10 тыс. компьютеров, зараженных вредоносным ПО. Рост преступности, связанной с криптовалютой, едва ли удивит людей, которые следят за тенденциями в сфере кибербезопасности. Поражает другое — насколько изощренные и сложные технологии используют некоторые злоумышленники. В отчете, который неделю назад опубликовала «Лаборатория Касперского», исследователи рассказали о трех преступных группировках, занимающихся добычей криптовалюты. Эти мошенники действуют незаметно и, в отличие от навязчивых вымогателей, предпочитают исподтишка загружать ЦП жертвы, пряча вредоносные программы на клиентском ПК или в ЦОД, объяснил специалист компании Антон Иванов. По оценкам исследователей, в 2017 году от рук охотников за криптовалютой пострадали 2,7 млн человек. Согласно отчету, который был представлен на прошлой неделе на ежегодной конференции ИБ-аналитиков Security Analyst Summit (SAS), это почти в 1,5 раза больше, чем в 2016 году (1,87 миллиона). Люди и компании, по словам исследователей, становятся жертвами криптоджекинга из-за рекламного ПО, взломанных игр и пиратских программ, с помощью которых киберпреступники получают доступ к ПК. «Еще один способ, распространенный среди мошенников, — специальный код JavaScript, запускающийся с зараженной веб-страницы. Самый известный скрипт для майнинга — Coinhive — был обнаружен на многих популярных сайтах», — пишут аналитики. Майнинг на 10 тыс. компьютеров Группировка злоумышленников, которую исследователи Лаборатории Касперского назвали просто «Первой группой», управляла сетью из около 10 тыс. потребительских и корпоративных ПК, а также серверов со всего мира. Мишенью оказывались системы с неисправленными багами, уязвимыми для эксплойтов, таких как EternalBlue. «Они добывают Monero при помощи кастомных майнеров, — рассказывает Иванов. — При этом для большей надежности они используют такие продвинутые методики, как process hollowing и управление планировщиком задач». Process hollowing — это когда злоумышленник создает процесс в приостановленном состоянии, а затем заменяет образ процесса тем, который он хочет скрыть. По словам исследователей, раньше такая методика не применялась для майнинговых атак. С помощью планировщика задач Windows тоже можно замаскировать вредоносное ПО. Мошенники, прибегающие к этому методу, присваивают вредоносным программам названия стандартных приложений Windows, например diskmngr.exe, taskmngr.exe или svchost.exe. После этого с помощью планировщика задач или ключей реестра преступники настраивают автозапуск майнера при включении ПК. Преступники выслеживают жертв перед атакой «Вторая группа» нацелена на тех пользователей, компьютеры которых уже использовались для добычи Monero. При изучении вредоносного ПО этих злоумышленников специалисты «Лаборатории Касперского» обнаружили жестко закодированную информацию в скриптах PowerShell. Они содержали данные о конечных точках, на которые были нацелены атаки. По словам исследователей, это говорит о том, что преступники заранее имели доступ к соответствующим сетям. «Очевидно, что злоумышленники тщательно изучили своих жертв, чтобы выяснить, кого стоит, а кого не стоит заражать майнерами в рамках организации», — рассказывает Иванов. Так, вредоносное ПО не ставили на компьютеры системного администратора или руководителя службы безопасности. «Ведь такой специалист может быстро обнаружить атаку», — отметил исследователь. Эта группировка использовала для майнинга частный пул, поэтому невозможно понять, сколько Monero им удалось добыть. «Поскольку атака нацелена на крупные организации и в ней применялись сложные методики, мы можем сравнивать компанию с WannaMine и предполагать, что злоумышленникам удалось заработать около 3 миллионов долларов», — говорит Иванов. Майнер на продажу Преступники из «Третьей группы» отличаются тем, что не майнят сами, а продают свое ПО через Интернет. Согласно отчету «Лаборатории Касперского», в основе этих тулкитов лежит пользовательский скрипт для добычи Monero, который рекламировали в даркнете и в закрытых Telegram-каналах для хакеров. Этот инструментарий предлагает полный набор функций для майнинга, в том числе способен определять, какую долю мощностей ЦПУ можно тратить, или прекращать добычу криптовалюты, когда жертва запускает игру с высокими требованиями, чтобы избежать обнаружения. «Эти сборки способны долго существовать внутри систем. Рядовому пользователю будет очень сложно понять, что его компьютер заражен», — поясняет Иванов. В своем отчете исследователи отметили, что атаки с целью майнинга все больше вытесняют программы-вымогатели с лидирующих позиций. При этом в период подъема авторы шифровальщиков применяли те же приемы, что и современные охотники за криптовалютой.
