Pozor na útočníky, kteří kradou váš výpočetní výkon kvůli těžbě kryptoměn

cryptomining

Každý den jsou vaše webové servery stále častěji skenovány – a pravděpodobně napadány – protivníky, kteří se pokoušejí získat přístup k vaší infrastruktuře. Od roku 2015 do roku 2017 náš data partner Loryka vypozoroval, že tyto typy skenů rostou z 200 za minutu až na 2000 za minutu. Tyto druhy útočníků jsou profesionálové; živí se tím. Jejich cílem je dosahovat zisku jakýmkoli způsobem, obvykle krádeží informací o kreditní kartě, číslech sociálního zabezpečení, důvěrných obchodních dokumentů, osobních přihlašovacích údajů, abychom jmenovali jen několik – které mohou prodávat na jednom nebo více obchodních trzích Darknetu. V dalších případech jsou útočníci placeni třetí stranou za to, že poškodí váš web nebo naruší službu. Ať tak či onak, většina útoků je navržena tak, aby přinášela příjmy pro útočníky.

Oblíbenost těžby kryptoměn dává útočníkům nový důvod k cílení a zneužití vašich aplikací a platforem, které je podporují. Zrychlili útoky proti webovým serverům a aplikacím po celém internetu a využívají jak nové, tak i staré zranitelnosti při vzdáleném spuštění kódu. Záměrem je kompromitovat servery a pak nainstalovat software navržený k těžbě kryptoměn jménem útočníků. Tato praxe převzetí serverů, zotročování systémových prostředků a jejich přinucení k těžbě může být velmi výnosná, vzhledem k dostatečnému počtu počítačových zdrojů.

Koncem roku 2017 bezpečnostní výzkumníci z F5 objevili Zealot, Monero miner, který se instaloval na zranitelných serverech Apache Struts. Krátce poté objevili variantu založenou na Linuxu nazvanou PyCryptoMiner, která se šíří prostřednictvím protokolu SSH. Další verze nazvaná RubyMiner nedávno proletěla internetem. Během 24 hodin se útočníci údajně pokoušeli kompromitovat 30 procent sítí po celém světě, kdy hledali zranitelné webové servery a aplikace, které by mohly získat do svých těžebních poolů. K dnešnímu dni je jedním z nejziskovejších krypto botnetů Smominru, který údajně vydělal útočníkům 2,3 milionu dolarů.

Když lidé mluví o kryptoměnách, okamžitě myslí na Bitcoin, protože ten byl první a je stále nejoblíbenější. Nicméně, těžba Bitcoinu se stala tak náročnou, že už není výhodné těžit se standardními komponentami na serverech a stolních počítačích. Těžba dnes vyžaduje použití grafických karet nebo ideálně chipů s integrovaným obvodem (ASIC) pro konkrétní aplikace. To je důvod, proč mnoho útočníků nyní těží novější alternativní kryptoměny. Příkladem je Monero, který lze úspěšně těžit libovolným CPU – nevyžaduje ASIC.

Vzhledem k tomu, že útočníci neplatí za vlastní zdroje a elektřinu, je to pro ně stoprocentně ziskové. Čím více zdrojů přinutí těžit pro své pooly, tím více peněz vydělají. Dokonce i slabé procesory mohou být vtaženy do těžebních poolů, aby sdíleli svůj výpočetní výkon. IoT zařízení jsou skvělý cíl, protože jsou vždy v provozu a nejsou obvykle spravována, takže pravděpodobnost, že tato zařízení budou objevena a poté opravena, je nízká.

F5Dalším nebezpečím je, že útočníci mohou modifikovat webovou aplikaci tím, že do prohlížečů návštěvníků vloží JavaScript, jako je Coinhive nebo jiný web-miner. Útočníci pak mohou využívat výpočetní prostředky všech návštěvníků webových stránek ve svůj prospěch. Během posledního týdne došlo k agresivní kampani založené na textových zprávách, které se snažily přinutit chytré telefony těžit kryptoměny po kliknutí na odkaz, který slibuje Bitcoiny zdarma.

Vzhledem k tomu, že krádež dat je pro útočníky méně výhodná (data kreditních karet se nedávno prodávala na černém trhu za pouhých 0,0003 dolarů za záznam), kryptoměny se stávají atraktivnějším cílem pro kyberkriminálníky. A to činí každou aplikaci potenciálním cílem. Internet je skvělý ekvalizér, protože žádná aplikace, bez ohledu na to, kde se nachází, není imunní. Útočníci nediskriminují ani průmysl. Ať už jste výrobce na Americkém středozápadě nebo ve velké organizaci finančních služeb na východním nebo západním pobřeží, nejste před těmito útoky v bezpečí.

Nejlepší způsob, jak chránit vaše prostředí, je umístění web application firewallu před všechny vaše aplikace. Pak se podívejte na klasický příznak – špatný výkon.

Vzhledem k tomu, že kryptoměny jsou tak horkým tématem, bezpečnostní zpravodajské týmy po celém světě aktivně hledají krypto-mining roboty a zveřejňují vše, co najdou, obvykle včetně Indicators of Compromise (IOCs). Bezpečnostní týmy by měly vyhledávat tyto publikace a ujistit se, že jejich sítě nekomunikují se žádnými servery těžící kryptoměny zveřejněné v IOCs.

Zdroj: f5.com

Související články

Leave a Comment