Εξελιγμένες μεθόδους «μόλυνσης» και τεχνικές δανεισμένες από στοχευμένες επιθέσεις, έχουν αρχίσει να χρησιμοποιούν οι ψηφιακοί εγκληματίες. Στόχος τους να εγκαταστήσουν λογισμικό εξόρυξης με αλγόριθμους (mining) σε υπολογιστές, που έχουν δεχτεί επίθεση εντός οργανισμών.
Παρ’ όλο που η αγορά κρυπτονομισμάτων αντιμετωπίζει πολλά σκαμπανεβάσματα, τα φαινόμενα του περασμένου έτους με τη διόγκωση της αξίας του Bitcoin έχουν αλλάξει σημαντικά όχι μόνο την παγκόσμια οικονομία, αλλά και τον κόσμο της ψηφιακής ασφάλειας.
Με στόχο την κερδοσκοπία, οι εγκληματίες έχουν αρχίσει να χρησιμοποιούν λογισμικό εξόρυξης στις επιθέσεις τους, οι οποίες, όπως και τα προγράμματα ransomware, έχουν ένα απλό μοντέλο δημιουργίας εσόδων. Αλλά, σε αντίθεση με τα ransomware, δεν καταστρέφει ολοκληρωτικά τους χρήστες και είναι σε θέση να παραμείνει μη ανιχνεύσιμο για μεγάλο χρονικό διάστημα χρησιμοποιώντας την ισχύ του υπολογιστή.
Η πιο επιτυχημένη ομάδα που παρατηρήθηκε από την Kaspersky Lab κέρδισε τουλάχιστον $7 εκατ. εκμεταλλευόμενη τα θύματα της σε μόλις έξι μήνες το 2017. Το Σεπτέμβριο του 2017, η εταιρεία κατέγραψε μια άνοδο των miners, που άρχισαν να εξαπλώνονται ενεργά σε όλο τον κόσμο και προέβλεψε την περαιτέρω ανάπτυξή τους. Οι τελευταίες έρευνες αποκαλύπτουν ότι η ανάπτυξη αυτή δεν έχει μόνο συνεχιστεί, αλλά έχει αυξηθεί και επεκταθεί.
Συνολικά, 2,7 εκατομμύρια χρήστες δέχτηκαν επίθεση από κακόβουλα miners το 2017, σύμφωνα με τα δεδομένα της Kaspersky Lab. Μέγεθος περίπου 50% υψηλότερο σε σύγκριση με το 2016 (1,87 εκατ.).
Οπλοστάσιο
Οι ερευνητές της Kaspersky Lab προσδιόρισαν, πρόσφατα, μια ομάδα ψηφιακών εγκληματιών με τεχνικές APT στο οπλοστάσιο τους, για να “μολύνουν” τους χρήστες με miners. Κάνει χρήση μιας μεθόδου process-hollowing, που χρησιμοποιείται συνήθως σε κακόβουλο λογισμικό και έχει παρατηρηθεί σε μερικές στοχευμένες επιθέσεις από φορείς επιθέσεων τύπου APT, αλλά δεν έχει παρατηρηθεί ποτέ σε επιθέσεις εξόρυξης.
Το θύμα προσελκύεται, ώστε να “κατεβάσει” και να εγκαταστήσει λογισμικό διαφήμισης με το miner installer κρυμμένο στο εσωτερικό του. Αυτό το πρόγραμμα εγκατάστασης αποβάλλει ένα νόμιμο βοηθητικό πρόγραμμα των Windows, με κύριο σκοπό τη λήψη του ίδιου του miner από έναν απομακρυσμένο server. Μετά την εκτέλεσή του, ξεκινά μια νόμιμη διαδικασία συστήματος και ο νόμιμος κώδικας αυτής της διαδικασίας αλλάζει σε κακόβουλο κώδικα.
Ως αποτέλεσμα, το miner λειτουργεί με το πρόσχημα μιας νόμιμης εργασίας, οπότε θα είναι αδύνατο για έναν χρήστη να αναγνωρίσει, εάν υπάρχει “μόλυνση” εξόρυξης. Είναι, επίσης, δύσκολο για λύσεις ασφάλειας να ανιχνεύσουν αυτήν την απειλή. Επιπλέον, τα miners σηματοδοτούν αυτήν τη νέα διαδικασία με τρόπο που περιορίζει οποιαδήποτε ακύρωση εργασιών. Αν ο χρήστης προσπαθήσει να σταματήσει τη διαδικασία, το σύστημα του υπολογιστή θα επανεκκινήσει. Ως αποτέλεσμα, οι εγκληματίες προστατεύουν την παρουσία τους στο σύστημα για μεγαλύτερο και παραγωγικότερο χρονικό διάστημα.
Με βάση τις παρατηρήσεις της Kaspersky Lab, οι φορείς πίσω από αυτές τις επιθέσεις εξόρυξαν νομίσματα Electroneum και κέρδισαν σχεδόν $7 εκατ. κατά το 2ο εξάμηνο του 2017, μέγεθος συγκρίσιμο με τα ποσά που κέρδιζαν οι δημιουργοί προγραμμάτων ransomware.
Προστασία
Προκειμένου να παραμείνουν προστατευμένοι, η Kaspersky Lab συνιστά στους χρήστες τα εξής:
“- Μην κλικάρετε σε άγνωστες ιστοσελίδες ή ύποπτα banners και διαφημίσεις.
– Μην κατεβάζετε και ανοίγετε άγνωστα αρχεία από μη αξιόπιστες πηγές.
– Εγκαταστήστε μια αξιόπιστη λύση ασφάλειας”.
Για οργανισμούς, η Kaspersky Lab συνιστά τα εξής:
“- Διεξάγετε έλεγχο ασφάλειας σε τακτική βάση.
– Εγκαταστήστε μια αξιόπιστη λύση ασφαλείας σε όλους τους σταθμούς εργασίας και servers και βεβαιωθείτε ότι όλες οι λειτουργίες είναι ενεργοποιημένες για να εξασφαλίσετε τη μέγιστη δυνατή προστασία”.
[sepe.gr]
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου