- PVSM.RU - https://www.pvsm.ru -

Вирусы-криптомайнеры формируют ботнеты, зарабатывающие для своих владельцев сотни тысяч долларов США

Вирусы-криптомайнеры формируют ботнеты, зарабатывающие для своих владельцев сотни тысяч долларов США - 1
Monero и Dash пользуются у злоумышленников особой популярностью

С течением времени вирусы-майнеры становятся все более популярными. Появились они много лет назад (пост об одном таком был опубликован [1] на Хабре еще в 2011 году), сейчас такие зловреды стали очень распространенными. Злоумышленники, надеясь получить криптовалюту, курс которой сейчас постоянно растет, заражают все больше компьютеров. Через защиту ПК и сетей зловреды проникают обычным путем — либо через уязвимости в ОС, либо при помощи самого пользователя, который бездумно может открыть приложение в электронном сообщении с заголовком вроде «Привет, я Кристина, вот мои фотки». Есть, конечно, и другие способы, но социальную инженерию никто не отменял.

Сам по себе вирус-криптомайнер не делает с компьютером жертвы ничего плохого, ведь создатели такого рода приложений сами заинтересованы в том, чтобы машина работала хорошо. Эксперты утверждают [2], что только за последний месяц было выявлено несколько крупных бот-сетей, которые направлены на получение прибыли от майнинга.

Проблема для жертвы заключается в том, что ее компьютер, зараженный криптомайнером, работает значительно медленнее обычного, поскольку ресурсы системы заняты майнингом. Это плохо, если речь идет об одном пользователе, и еще хуже, если заражена сеть целого предприятия. В этом случае рабочие процессы начинают пробуксовывать, а причину того, почему компьютеры начали работать медленно, выявляют далеко не всегда и не сразу.

Сервера в сети злоумышленники заражают, эксплуатируя уязвимость вроде EternalBlue [3]. Самое интересное то, что сборщик криптомайнера продается, его предлагают, например, в Telegram.

Вирусы-криптомайнеры формируют ботнеты, зарабатывающие для своих владельцев сотни тысяч долларов США - 2

Этот сборщик дает возможность проверить работоспособность демо-версии вируса. Ну а купить полную версию после апробации демки можно без проблем у тех, кто такие объявления распространяет.

Майнеров довольно много, а сложность их детектирования заключается в том, что сам по себе майнинг — стандартный процесс. Это не попытки стирать или модифицировать файлы, изменять содержимое загрузочного сектора жесткого диска и т.п. Нет, майнинг в обычном случае не будет определяться антивирусом. Поэтому разработчикам антивирусов приходится искать новые способы определения наличия таких программ на компьютерах жертв.

Вирусы-криптомайнеры формируют ботнеты, зарабатывающие для своих владельцев сотни тысяч долларов США - 3

Жертвы могут даже не подозревать о наличии зловреда на ПК, поскольку продвинутые зловреды прекращают работу во время запуска на ПК «тяжелых» приложений вроде игр. В итоге пользователь не ощущает влияния вируса, и тот спокойно майнит криптовалюту.

На днях на ресурсе Securelist была опубликована статья [2], где говорится об обнаружении достаточно крупного «криптоботнета», в состав которого входит более 5 тысяч различных компьютеров с установленным майнером Minergate [4]. И это, кстати, вполне «белый» майнер, который злоумышленники скрытно устанавливали на компьютерах жертв.

Вирусы-криптомайнеры формируют ботнеты, зарабатывающие для своих владельцев сотни тысяч долларов США - 4

Инсталлятор программы загружался жертвами с файлообменников в качестве либо ключей разлочки пробных версий программ, либо в качестве любого иного «белого и пушистого» ПО. Как только программа загружена и запущена, инсталлятор начинает загрузку дроппер-майнера. Тот, в свою очередь, записывает Minergate и загружает ряд инструментов, которые обеспечивают непрерывную работу майнера в качестве системного процесса.

Вирусы-криптомайнеры формируют ботнеты, зарабатывающие для своих владельцев сотни тысяч долларов США - 5

Сейчас, в отличие от того же 2011 года злоумышленники при помощи майнеров получают не биткоин или эфир, а Monero и Zcash. Такой выбор обусловлен тем, что обе монеты предусматривают практически полную анонимность — отследить их сложно.

Вирусы-криптомайнеры формируют ботнеты, зарабатывающие для своих владельцев сотни тысяч долларов США - 6

Заработок такого рода достаточно высок. На иллюстрации выше показана общая сумма выводов средств с кошелька злоумышленников. По текущему курсу Monero (XMR) это свыше $200 000.

По словам [5] представителей «Лаборатории Касперского», на данный момент обнаружено два ботнета с криптомайнерами. В каждом — несколько тысяч «ботов», о чем уже упоминалось выше. Пока что особо надежных способов борьбы с такого рода зловредами нет, но ряд компаний, выпускающих антивирусные продукты, предпринимают усилия по созданию достаточно эффективного инструмента для борьбы с таким ПО.

Автор: Максим Агаджанов

Источник [6]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/263498

Ссылки в тексте:

[1] опубликован: https://habrahabr.ru/post/123244/

[2] Эксперты утверждают: https://securelist.ru/miners-on-the-rise/80257/

[3] EternalBlue: https://ru.wikipedia.org/wiki/EternalBlue

[4] Minergate: https://ru.minergate.com/

[5] По словам: https://www.vedomosti.ru/technology/articles/2017/09/06/732673-kompyuteri-rossiyan-okazalis

[6] Источник: https://geektimes.ru/post/292749/