A cryptojacking valaki más számítógépének jogosulatlan használata kriptovaluta bányászására. Ezt úgy érik el a hackerek, hogy vagy ráveszik valahogyan az áldozatukat arra, hogy kattintson egy rosszindulatú, kriptovalutát bányászó kódot betöltő hivatkozáson egy e-mailben, vagy megfertőznek egy weboldalt vagy online hirdetést JavaScript kóddal, amely automatikusan futni kezd, amikor betöltődik az áldozat böngészőjébe.
A kriptobányász kód mindkét esetben a háttérben fut (összetett matematikai problémákat old meg, és az eredményt elküldi a hackerek által ellenőrzött szerverre), miközben a mit sem sejtő áldozatok használják a számítógépüket. Az egészből csupán annyit észlelhetnek, hogy lelassul a gépük.
A hackerek általában mindkét módszert használják a megtérülés maximalizálása érdekében, azonban statisztikák szerint 100 kriptobányászatra kényszerített eszköz közül 10 generál bevételeket a gépre telepített kód által, míg 90 a böngészőben futó programmal teszi ugyanezt.
Egyes kriptobányász szkriptek más számítógépeket és szervereket is megfertőznek egy hálózatban. Ezeket nehezebb megtalálni és eltávolítani, mivel a hálózatban nagyobb a túlélési esélyük. A szkriptek arra is képesek lehetnek, hogy megvizsgálják, fut-e már a gépen rivális kriptobányász program, és ha igen, kikapcsolják azt. Ugyancsak ellátták őket a leállításukat megakadályozó mechanizmussal, amely néhány percenként újra meg újra lefut.
Más rosszindulatú programoktól eltérően a cryptojacking kódok nem tesznek kárt a számítógépben és az áldozat adataiban, ők a processzor feldolgozási teljesítményét lopják el. Az otthoni felhasználók számítógépük lelassulását tapasztalhatják, míg azok a vállalatoknak komoly költségeket okoz a teljesítményproblémák felkutatása, valamint a túlterhelés miatt hamarabb elhasználódó alkatrészek és rendszerek cseréje, amelyeknek sok számítógépét fertőzték meg kriptobányász programmal.
Hogyan akadályozhatjuk meg?
Az alábbi óvintézkedésekkel minimálisra csökkenthetjük a criptobányász programokkal való megfertőződés kockázatát a szervezetünknél:
A biztonságtudatos szemlélet kialakítására hivatott vállalati tréningprogramokba vegyük be a cryptojacking által okozott fenyegetést, arra fókuszálva, hogy adathalászati módszerekkel próbálják meg eljuttatni a hackerek a felhasználók számítógépére a rosszindulatú kódokat. A megfelelően felkészített alkalmazottak révén elkerülhetők a problémák még akkor is, ha a védelmi rendszer hibázik, az adathalászat ugyanis még mindig a rosszindulatú kódok célba juttatásának első számú eszköze.
Azonban a tréning nem véd az olyan, automatikusan futó kriptobányász programoktól, amelyeket legális weboldalakon helyeztek el a kiberbűnözők.
Telepítsünk hirdetésblokkolót és kriptobányászat-ellenes bővítményt a böngészőkbe. Mivel a cryptojacking szkripteket gyakran webes hirdetésekbe ágyazzák, a hirdetésblokkolók hatékony védelmet jelenthetnek ellenük, míg a No Coin és MinerBlock bővítményeket a kriptobányász szkriptek észlelésére és blokkolására tervezték.
Használjunk az ismert kriptobányász programok észlelésére képes végponti védelmet. A végpontvédelmi/antivírus szoftverek többsége képes észlelni a kriptobányász programokat. Ennek ellenére legyünk óvatosak, mivel a kriptobányász szoftverek írói állandóan változtatják módszereiket a végpontokon történő észlelés elkerülése érdekében.
Tartsuk naprakész állapotban a webszűrő eszközeinket. Ha azonosítunk egy kriptobányász programot tartalmazó weboldalt, blokkoljuk a felhasználókat ezek elérésétől.
Tartsuk karban a böngésző bővítményeket. Egyes támadók rosszindulatú böngésző bővítményekkel vagy fertőzött legális bővítmények megfertőzésével bányásznak kriptovalutát.
Használjunk egy mobileszköz-felügyeleti (MDM) megoldást a felhasználók eszközein futó programok hatékonyabb kontrollálására. A BYOD megközelítés kihívást jelent a kriptobányászat elleni küzdelemben, és az MDM biztonságosabbá teszi a saját eszközök használatát. Ugyanakkor fontos megjegyezni, hogy a mobil eszközöket sokkal kevésbé fenyegeti a kriptobányászat, mint az asztali számítógépeket és szervereket, kisebb teljesítményük miatt ugyanis kevésbé vonzóak a hackerek számára.
Hogyan észlelhetjük?
A zsarolóprogramokhoz hasonlóan a cryptojacking is negatív hatással lehet szervezetünk működésére, annak ellenére, hogy mindent megteszünk a blokkolására. Nehéz az észlelése, különösen ha csak kevés rendszert érint a támadás. Ne hagyatkozzunk csupán meglévő végpontvédelmi eszközeinkre a kriptobányász programok észlelése terén. Íme néhány kiegészítő megoldás:
Képezzük ki a helpdeskeseket a kriptobányászat jeleinek a felismerésére. Sokszor az első jel a lelassuló gépekkel kapcsolatos panaszok számának növekedése. További fontos jele a kriptobányászatnak a rendszerek túlmelegedése, ez a probléma a processzor és a hűtőventilátor meghibásodásához, az eszközök éeltciklusának lerövidüléséhez vezethet, különösen a karcsú kivitelű berendezések - ultrakönnyú laptopok, tabletek és okostelefonok- esetében.
Telepítsünk egy hálózatmonitorozó megoldást. Szakértők szerint a cryptojacking könnyebben észlelhető egy vállalati hálózatban, mint az otthonokban, mivel a fogyasztóknak szánt végpontvédelmi megoldások legtöbbje nem ismeri fel az adatbányász programokat. A hálózatmonitorozó megoldásokkal könnyen felismerhető a cryptojacking, és a legtöbb nagyvállalat használ ilyen eszközt.
Sajnos azonban csak kevés szervezetnél képesek a begyűjtött információk megfelelő elemzésére, ami a pontos azonosításhoz szükséges. Ebben nagy segítséget nyújt például a SecBI, melynek mesterséges intelligencia alapú megoldása elemzi a hálózati adatokat, s képes azonosítani a cryptojackinget és más fenyegetéseket.
A hálózat monitorozása a legjobb módszer a kriptobányászati tevékenység észlelésére. Sok monitorozó megoldás az egyes felhasználóknál folyó tevékenységeket is figyeli, így be tudja azonosítani, hogy pontosan mely számítógépek érintettek.
Vizsgáljuk meg saját weboldalainkat, hogy tartalmaznak-e kriptobányász kódot. A kiberbűnözők előszeretettel telepítik a cryptojackinghez használt Javascript kódot a webszerverekre. Nem maga a szerver a célpont, hanem azok az emberek, akik meglátogatják a fertőzött webhelyeket. Biztonsági szakértők ezért azt ajánlják, hogy rendszeresen monitorozzuk a webszervereket és weboldalakat az esetleges rosszindulatú fájlmódosítások észlelése érdekében.
Tájékozódjunk a cryptojacking trendekről. A terjesztési módszereket és a kriptobányász kódot folyamatosan fejlesztik a kiberbűnözők. A cryptojackinghez használt szoftverek működésének és viselkedésének jobb megértése hatékonyabbá teszi a kriptobányászati tevékenységek észlelését. Az okos szervezetek elébe mennek a történéseknek.
Hogyan reagálhatunk a támadásokra?
Lőjük le és blokkoljuk a weboldalakon futó szkripteket. A böngészökön belül indított JavaScript támadások esetében egyszerű a megoldás: ha észleltük a kriptobányász programot, egyszerűen zárjuk be a szkriptet futtató böszgészőlapot. Az IT-részlegnek pedig frissítenie kell a kriptobányász programot futtató weboldal URL-jével a vállalati webszűrőt az oldal blokkolásához. Érdemes továbbá kriptobányászat-ellenes eszközöket telepíteni a jövőbeli támadások megakadályozására.
Frissítsük és töröljük a böngésző bővítményeket. Ha egy bővítmény megfertőzi a böngészőt, a böngészőoldal bezárása nem segít. Frissítsük a bővítményeket, valamint töröljük a nem használtakat és a fertőzötteket.
Tanuljunk és alkalmazkodjunk. A tapasztaltakat használjuk annak jobb megértésére, hogy miképpen sikerült a támadónak feltörni a rendszereinket. Frissítsük a felhasználói, helpdesk és IT tréningek anyagát, hogy az alkalmazottak hatékonyabban legyenek képesek a cryptojacking kísérletek észlelésére és a megfelelő reagálásra.
