29 marca 2023

Nie pozwól wykorzystywać swojej sieci firmowej do kopania kryptowalut 

W 2021 grupa hakerska Team TNT uruchomiła kampanię Chimaera, której celem było kopanie kryptowalut. Dzięki niej grupa zyskała 8100 dolarów pasywnego przychodu, wykorzystując do tego ponad 10 000 zainfekowanych komputerów, także firmowych. Oszacowano, że koszty poniesione przez poszkodowane firmy przekroczyły 430 000 dolarów.   

Ataki wykorzystujące komputery nieświadomych użytkowników i firm do kopania kryptowalut  są dla cyberoszustów bardzo opłacalne i zwykle pozostają niewykryte. Nic bowiem nie wskazuje na to, że komputery lub sieć są wykorzystywane do kopania kryptowalut. Poszkodowany może co prawda zaobserwować pewne anomalie w działaniu swojego komputera, takie jak zmniejszenie wydajności, przegrzewanie się stacji (zwiększony hasła i prędkość wentylatorów), ale zwykle objawy te ignoruje, przypisując je np. Dawno nieserwisowanemu chłodzeniu. 

Mimo ostatnich kryzysów, kryptowaluty cieszą się sporą popularnością. Nic dziwnego zatem, że ataki wykorzystujące cudze komputery do kopania kryptowalut są nadal popularne, m.in. za sprawą:

  • wzrostu cen energii elektrycznej (wykorzystując zainfekowane komputery zasila prąd opłacany przez nieświadome niczego ofiary) cyberprzestępcy wykorzystując komputery innych osób nie muszą płacić za energię elektryczną,
  • brakiem konieczności rozbudowywania własnej infrastruktury (serwerów do przechowywania danych lub beaconów) 
  • wymagania niewielkiej wiedzy technicznej
  • łatwości wykorzystania zainfekowanych komputerów do przygotowywania i realizacji kolejnych ataków.

Ataki, w wyniku których komputery użytkowników i firm zaczynają kopać kryptowaluty dla cyberprzęstępców zwykle rozprzestrzeniają się poprzez phishing. Złośliwa zawartość ukrywa się również w pirackich treściach (filmach, grach, audiobookach). Ataki, których celem jest kopanie kryptowalut, następuje w wyniku: 

  • ataku phishingowego,
  • ataku wykorzystującego luki w zabezpieczeniach,
  • działania nielojalnego pracownika.

Pomocnym narzędziem do wykrywania wskazanych powyżej zagrożeń są narzędzia NDR (Network Detection Response), takie jak Gatewatcher, identyfikując złośliwe wirusy i ataki na podstawie charakterystycznego ruchu sieciowego. 

Wspomniany Gatewatcher bada ruch sieciowy sprawdzając wielkości pakietów i częstotliwości ich transmisji, w celu wykrycia anomalii. Niezależnie od tego, czy transmisja jest szyfrowana, czy też nie.
 

Autorem tekstu jest Joanna Świerczyńska

Mateusz Nowak
product manager Gatewatcher / Sekoia

Masz pytania?
Skontaktuj się ze mną:
nowak.m@dagma.pl
32 793 11 19