Fremkomsten af ​​cryptojacking overraskede dem ikke i krypto- og sikkerhedsverdenen. Faktisk var den eneste overraskende ting måske, hvor lang tid det tog ondsindede skuespillere at bruge cryptojacking til minedrift til kryptokurrency.

Da kryptovaluta-boom greb fat i slutningen af ​​2017, steg også en pludselig stigning ondsindede cryptojacking-hændelser.

De fænomenale toppe i kryptovaluta-boom er for længst væk; kryptokurrencymarkeder er noget stabile, omend stadig uforudsigelige. Er den faldende pris korreleret med en reduktion i cryptojacking-hændelser? Forholder de sig overhovedet? Her er hvad du har brug for at vide.

Hvad er Cryptojacking?

Cryptojacking er det samlede udtryk, der gives til et ondsindet angreb, hvor intetanende brugere får deres systemhardware kapret til minekryptovaluta. Den grundlæggende forudsætning for et cryptojacking-browserangreb er:

  • En intetanende bruger lander på en kompromitteret webside.
  • Websiden har et lille stykke JavaScript indeholdende cryptojacking-koden.
  • Kryptojacking-koden kaprer system-CPU’en og bruger den til minedrift-kryptokurrency, normalt Monero.
  • I nogle tilfælde åbner JavaScript et minimeret, skjult browservindue. Når brugeren forlader webstedet, fortsætter den ulovlige krypto-minedrift.
  • De fleste cryptojacking-angreb slutter imidlertid, når fanen til webstedet lukkes.

Cryptojacking er ikke kun browserbaseret. Der er flere typer malware derude, der vil udvinde kryptokurrency efter infektion af dit system. De fleste malware forsøger at forblive tavse, men cryptojacking-malware er mere lydløs end de fleste. Jo længere en kryptojacking-malware-variant kan forblive tavs, jo større er den potentielle belønning for angriberen.

Cryptojacking er derfor tyveri. De intetanende brugere mister ikke direkte penge, men de mister systemressourcer for at styrke en andens økonomiske gevinst. Og mens cryptojacking er ondsindet, efterlader det ikke nogen langsigtet skade på målsystemet, på trods af at køre CPU’en ved maksimal eller næsten maksimal kapacitet i en kort periode.

Hvorfor bruger Cryptojacking systemressourcer?

Cryptocurrency vokser ikke på træer. Nej, det vokser på servere og venter på, at de rigtige minearbejdere kommer sammen og frigiver det. Cryptojacking-scripts bruger primært systemets CPU til at gøre dette.

Kryptonetværk styrer transaktioner gennem blockchain. Hver netværkstransaktion føjes til en blok. Blokken distribueres til et netværk af tilsluttede minearbejdere til verifikation. Hver minearbejder har en kopi af den kryptokurrency-specifikke blockchain og kan validere og behandle transaktioner for dette netværk.

Når den nye blok ankommer, behandler minearbejderens system komplekse ligninger for at kontrollere blokindholdet. Ved verifikation føjer blokken til blockchain, og minearbejderne modtager en udbetalingsbelønning for deres indsats. I tilfælde af Bitcoin er belønningen 12,5 BTC, delt mellem den, der bidrager.

Nøglen til succes med krypto-minedrift er hastighed og processorkraft. Hvor hurtigt kan dit system bekræfte transaktionerne inden for blokken? Bitcoin-minedrift er i det væsentlige ubrugelig for alle, der ikke bruger specialiseret crypto-mining-hardware. Den store mængde minedrift drukner simpelthen en lille hjemmecomputer.

Hvis ikke Bitcoin, hvad er det minedrift??

Selv da Bitcoin-prisen faldt fra det berygtede $ 19.000 + -mærke tilbage mod sine nuværende toppe og dal, er Bitcoin-minedrift utilgængelig. Desuden bruger Ethereum og ERC-20-baserede tokens GPU’er til at udvinde kryptovalutaer. Så hvad prøver kryptojakkerne at udvinde?

For det meste udvinder browserkryptojacking-scripts og cryptojacking-malware Monero. Den letvægts-, privatlivs- og anonymitetsfokuserede kryptokurrency er lettere at udvinde, at Bitcoin og teoretisk giver krypto-minedriftstyven beskyttelse efter det faktiske. Men ikke alle. Som du læser længere nede i artiklen, adskiller flere avancerede cryptojacking-trusler Bitcoin.

Men selvom Monero er uendeligt lettere at udvinde end Bitcoin, kræver det stadig rå computerkraft. Rå computerkraft kræver investering i hardware. Og lad os indse det, hvis minetyve kan stjæle hardwaren med et lille stykke JavaScript, hvorfor skulle de ikke forsøge at maksimere overskuddet?

JavaScript Cryptojacking

Den første udbredte kryptojacking-JavaScript kom fra CoinHive, et firma, der ønsker at ændre, hvordan vi interagerer med internettet og reklameoverskuddet, der i det væsentlige understøtter alt, hvad der finder sted.

CoinHives vision var, at autoriseret krypto-minedrift skulle erstatte reklame. Hjemmesider kunne stadig tjene på indtægter baseret på sidevisninger og den tid, der blev brugt på webstedet, og brugere kunne undgå annoncer uden at føle sig forfærdelige ved at bruge en adblocker (og dermed i det væsentlige fratage indholdsskabere deres fair gebyrer).

Berygtet indhold piratkopiering og torrenting site, The Pirate Bay, var en af ​​de første til at eksperimentere med CoinHive-modellen.

Coinhive cryptojacking javascript

Desværre varede det ikke længe, ​​før ondsindede skuespillere indså, at de let kunne genanvende CoinHives minescript til mere ondskabsfulde midler. Det originale script har en kommandoprocentdel for CPU-minedrift. Oprindeligt indstillet til 30%, så brugerne med glæde kunne fortsætte med at bruge deres browser, kryptojackere stødte dette op til hele 100% på alle kerner for at maksimere overskuddet i den formodentlig korte tid, de fleste brugere dvæler på en ondsindet destinationsside.

For at være retfærdig over for CoinHive indså de, hvad der foregik, og udsendte en opdatering til deres script. Den nyere version, kendt som AuthedMine, giver brugerne mulighed for at tilmelde sig krypto-minedriftsprocessen og genvinde sit fredelige og originale formål som et reklamealternativ. Når det er sagt, er fravalg stadig fravalg. Det vil sige, webstedsejere behøver ikke at bruge AuthedMine, og de er ikke forpligtet til at informere dig om, hvad der spiser din CPU i live.

Cryptojacking Evolution

Cryptojacking udvikler sig. Som alle rentable og stort set risikofrie cyberangreb, ønsker ondsindede aktører altid større gevinster for deres investeringer og er parat til at skifte cryptojacking frem for at gøre det.

  • I de tidlige dage af cryptojacking var en af ​​de nemmeste metoder til at øge overskuddet at bruge en omdirigeringssløjfe. Ikke-mistænkelige ofre sendes gennem et antal websider, før de lander på en, der har et krypto-mining script installeret.
  • En anden allerede nævnt teknik åbner et nyt browservindue, der minimeres og skjules bag proceslinjen. Minutens browservindue er skjult bag systemuret og er derefter “gratis” til at køre, indtil brugeren bemærker, at noget er i gang.
  • Nogle browserudvidelser viste sig at skjule kryptomining-scripts uden at underrette brugeren. Nogle udvidelser blev stjålet fra deres udviklere, fik cryptojacking-scriptet injiceret og blev derefter uploadet igen eller opdateret til udvidelsesbutikken. (Faktisk forbød Google hurtigt alle Chrome-udvidelser, der misbruger cryptojacking-scripts.)

Men det er ikke alt. Hjemmebrugere har computere med relativt lav effekt. De, der kører cryptojacking-kampagner, indså hurtigt, at der er større cryptojacking-fisk at stege: virksomheder med kraftige supercomputere.

I februar 2018 meddelte producenten af ​​elektriske køretøjer Tesla, at de var ofre for et kryptojackingangreb. RedLock Cloud Security Intelligence afsløret at en sårbar Kubernetes-administrationskonsol afslørede loginoplysninger for et Tesla Amazon Web Service-miljø, og hackerne vendte straks den massive computerkraft til krypto-minedrift. Den britiske forsikringsudbyder, Aviva, og det internationale digitale sikkerhedsfirma, Gemalto, blev også dårlige for den samme kryptojacking-sårbarhed.

Andre rapporter antyder, at allerede sårbare Internet of Thing-enheder også er et primært mål for cryptojacking. Det Fortinet Threat Landscape Report [PDF] fandt ud af, at 23 procent af dens respondenter blev udsat for cryptojacking-malware. IoT-enheder er et attraktivt, let mål på grund af deres dårlige sikkerhed, enorme lydstyrke og altid tændte status.

Cryptojacking er ikke det eneste angreb, som crypto-brugere og hodlers skal tage til efterretning. Et SIM-swap-angreb skifter dit SIM-kort til en andens smartphone – hvor de rydder dine kryptokonti. Sådan beskytter du mod et SIM-swap-angreb.

Cryptojacking-eksplosion af malware

Imidlertid bidrager andre sikkerhedslækager også til cryptojacking-landskabet. Husker du den massive WannaCry-løsesum i 2017? WannaCry var det direkte resultat af en frigjort trove af tidligere ukendte nul-dages bedrifter, som NSA udviklede og samlet skjult. The Shadow Brokers, en hackegruppe med påståede bånd til den russiske regering, lækkede adskillige udnyttelser, herunder EternalBlue (også udformet ETERNALBLUE), som var afgørende for at sprede WannaCry-løsesummen i et så hurtigt tempo.

Hackere overalt i verden lægger mærke til, når et værktøj forårsager en sådan ødelæggelse (kun gemt af sikkerhedsforsker Marcus Hutchins, alias MalwareTech, som nu står over for en række hackinganklager i USA). Kombiner EternalBlue med en malware nyttelast, der udvinder kryptovaluta og viola: pludselig har vi WannaMine. WannaMine blev først afhentet af Panda Security og er, ligesom sin fængselsmaskefætter, ekstremt vanskelig at opdage og blokere.

Nation-State Cryptojacking Malware-kampagner

Men det er ikke kun “almindelige” hackere, der bruger cryptojacking-malware. Den nordkoreanske statsstøttede hackegruppe, Lazarus (af Sony hack infamy), satte en cryptojacking-trojan til at arbejde mod flere højt profilerede bankinstitutioner. Bortset fra den bemærkelsesværdige direkte målretning af bank- og finansielle organisationer, angriber Lazarus “AppleJeus” næsten unikt målrettede macOS-systemer, med en Linux-udnyttelse siges at være under udvikling.

Da det formodentlig moderat vellykkede AppleJeus-angreb er, er Lazarus desuden direkte forbundet med Ryuk-cryptojacking-malware, der i skrivende stund havde stjålet over $ 600.000. Det er ikke kun mærkelig spekulation; Ryuk cryptojacking-malware bærer kendetegn for Lazarus-gruppen Hermes malware-variant (den samme variant, der blev brugt til at distrahere sikkerhedstjenester under et forsøg på 60 millioner dollars til at hæve på Taiwans Far Eastern International Bank). Ryuk-malware er interessant, fordi målene ser ud til at være håndplukket. Det vil sige, hver løsepenge er forskellig, stiller en anden efterspørgsel osv. En personlig service næsten.

Vil Cryptojacking blive værre?

Nå, hastigheden på kryptojacking vedrører direkte prisen på kryptovalutaer, som du måske forventer. Fortinet Threat Landscape Report (linket ovenfor) illustrerer dette med følgende diagram:

fortinet cryptojacking bitcoin pris diagram

Da prisen på Bitcoin faldt, faldt også hændelserne med cryptojacking.

Andre rapporter tilbyder dog ikke de samme positive positive oplysninger. Det McAfee Labs Threats Report juni 2018 [PDF] angiver, at “antallet af total møntminearbejder malware steg med 629% i 1. kvartal til mere end 2,9 millioner prøver.” Rapporten uddyber yderligere og bekræfter, at i sammenligning med “veletablerede cyberkriminalitetsaktiviteter som datatyveri og ransomware er cryptojacking enklere, mere ligetil og mindre risikabelt.”

I det kan du se appellen fra browserbaserede varianter af cryptojacking og cryptojacking-malware, især i sammenligning med andre økonomisk motiverede angreb. Ransomware kræver initialinvestering for at sprede infektionen til nok ofre, mens ofre stadig har mulighed for at ignorere løsesummen og ikke betale, især hvis offeret ofte tager systembackups.

Cryptojacking går ikke nogen steder. Og hvis kryptokurrencypriserne begynder at stige for alvor, forvent at der vises mere malware.

Cryptojacking er ikke den eneste kryptobaserede fidus. Her er yderligere fem kryptokurrency-svindel og svindel, du kan undgå.