Hakkerit käyttävät nyt Yhdysvaltain kansallisen turvallisuusviraston (NSA) kehittämää ohjelmistoa salausvaluuttojen laittomaan louhintaan. Tuoreen julkaistun raportin mukaan Cyber ​​Threat Alliance (CTA), jonka on laatinut joukko kyberturvallisuusasiantuntijoita muun muassa McAfeesta, Cisco Taloksesta, NTT Securitystä, Rapid7: stä ja Sophosista, salauksen louhinnan haittaohjelmien havaitseminen on noussut yli 400 prosenttiin viimeisen puolitoista vuoden aikana.

Haitalliset toimijat kaappaavat tietokoneprosessoriresursseja muun muassa Internet-verkkoinfrastruktuurin tunkeutumisen ja tietokoneiden hakkeroinnin kautta. Yksi huolestuttavimmista trendeistä on NSA: n hyödyntäminen, jonka Shadow Brokers vuodatti viime vuoden alussa EternalBlue.

Pian lähdekoodin julkaisemisen jälkeen verkkorikolliset käyttivät työkalua käynnistääkseen tuhoisan WannaCry-lunnasohjelman, joka johti yli 200 000 tietokoneen tartuntaan yli 100 maassa. Ison-Britannian kansallinen terveyspalvelu (NHS) oli yksi hyökkäyksen kohteena olevista laitoksista, ja sen seurauksena se sulki verkon.

Uusien raporttien mukaan samaa hyödyntämistä käytetään salauksen kaivosvoiman hyödyntämiseen nimeltä kutsutun haittaohjelman avulla WannaMine. Tartunnan saaneet tietokoneet voivat hidastua tai niissä saattaa ilmetä laitteiston ylikuumenemisongelmia. Jotkut hyökkäykset ovat kuitenkin kehittyneempiä. He seuraavat hiiren tai suorittimen käyttöä ja keskeyttävät toiminnot automaattisesti, kun prosessointiteho ylittää tietyn kynnyksen.

Tämä ominaisuus tekee heistä vaikeampia havaita, mikä antaa heille mahdollisuuden jatkua ja tuottaa viime kädessä enemmän tuottoa tietoverkoille. Yleensä EternalBlue-haittaohjelmatartuntoja on vaikea havaita, koska ne kykenevät toimimaan lataamatta toissijaisia ​​sovellustiedostoja.

Wannacry-haittaohjelma perustui Eternalblue-hyödyntämiseen.

WannaCry-haittaohjelma johti yli 200 000 tietokoneen tartuntaan yli 100 maassa. (Kuvahyvitys: Wikipedia).

Kuinka WannaMine Crypto Mining Malware toimii

WannaMine on tunnetuin EternalBlue-pohjainen salauksen kaivoshaittaohjelma. Sen on havaittu leviävän eri tavoin. Yksi näistä on se, että Internetin käyttäjät lataavat väärennettyjä ohjelmia epävirallisista lähteistä, sähköpostin liitteistä ja tarjoavat harhaanjohtavia ohjelmistopäivityskehotteita.

Se käyttää toimintaansa Windowsin hallintatyökaluja ja naamioi itsensä laillisissa prosesseissa. Sellaisena se ei toimi Android- tai iOS-laitteissa. Se kuitenkin sallii hakkerin ladata ja ladata tiedostoja tietokoneelle, luetella käynnissä olevia prosesseja, suorittaa mielivaltaisia ​​komentoja, kerätä järjestelmäkohtaisia ​​tietoja, kuten IP-osoitteet ja tietokoneen nimi, ja antaa tunkeilijan muuttaa joitakin laitteen asetuksia.

Wannamine käyttää tyypillisesti Mimikatz, Windowsin hakkerointityökalu, jota käytetään ohjelmistojen murtamiseen järjestelmän hallinnan parantamiseksi. Alun perin Benjamin Delpyn kehittämä Mimikatz voi käyttää tietokoneen salasanoja muistinsa kautta ja orjuuttaa sen botnetiin. Sillä on myös kyky viedä suojausvarmenteita, ohittaa Microsoft AppLocker ja Software Restriction Police -prosesseihin liittyvät prosessit sekä muokata käyttöoikeuksia.

Cryptojacking-tilastot

Kryptojacking-käytäntö on ilmeisesti rehottava ja viime marraskuussa julkaistut tilastot AdGuard syytetty että yli 33 000 verkkosivustolla, joissa on yhteensä yli miljardi kuukausittaista kävijää, oli kryptojacking-komentosarjoja. Useimmat eivät vaivautuneet varoittamaan käyttäjiä tästä. Moneron sanotaan olevan ensisijainen salausvaluutta kryptojacking-toimijoille lähinnä sen salanimittelyominaisuuksien ja kyvyn vuoksi kaivaa keskikokoisista ja mataliin tietokoneisiin.

Helmikuussa yli 34 000 verkkosivustoa havaittiin käyttävän CoinHiven JavaScriptiä, jota käytetään myös Moneron kaivamiseen. Tämä tapahtui JulkinenWWW-haku tietokanta, jota voidaan käyttää paljastamaan JavaScript-katkelmat verkkosivustoilla.

CoinHive-kaivosmies on pitkälti laillinen tapa suorittaa selaimen kaivos. Tällä hetkellä vain noin 19 000 verkkosivua on lueteltu Coinhive-koodilla. Kaivosmiehiä hyödyntävien verkkosivustojen jyrkkä lasku on todennäköisesti yhteydessä kaivostoiminnan kannattavuuden heikkenemiseen.

Poissa Coinhivesta, Smominru Moneron kaivosmies on löydetty olla aktiivisimpia luonnossa ja levitetään EternalBlue-hyödyntämisen avulla. Sen käyttö havaittiin ensimmäisen kerran viime vuoden toukokuussa, ja tuolloin sen takana olevat toimijat kaivosivat 8500 dollaria Moneroa viikossa. Heidän botnet-verkko koostui yli 526 000 tartunnan saaneesta solmusta, jotka näyttivät olevan palvelimia, jotka sijaitsevat Taiwanissa, Venäjällä ja Intiassa.

Suojaus salauksen kaivoshyökkäyksiltä

Tietokonetta on helppo suojata EternalBlue-pohjaisilta kaivoshaittaohjelmien hyökkäyksiltä päivittämällä ikkunat säännöllisesti ja suorittamalla virustarkistus Windows Defender Antivirus -ohjelmalla. PC-käyttäjien tulisi myös välttää ”murtuneiden” ohjelmistojen käyttöä, koska monet luovat takaovelle pääsyn hakkereille.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me