Εξελιγμένες μεθόδους «μόλυνσης» και τεχνικές δανεισμένες από στοχευμένες επιθέσεις έχουν αρχίσει να χρησιμοποιούν οι ψηφιακοί εγκληματίες προκειμένου να εγκαταστήσουν λογισμικό εξόρυξης με αλγόριθμους (mining) σε υπολογιστές που έχουν δεχτεί επίθεση εντός οργανισμών.

Σύμφωνα με την Kaspersky, η οποία ανακάλυψε την πιο επιτυχημένη ομάδα αυτών των χάκερ, το κέρδος από το λογισμικό αυτό εξόρυξης με αλγορίθμους κατάφερε να κερδίσει εκμεταλλευόμενο τα θύματά του τουλάχιστον 7 εκατομμύρια δολάρια σε μόλις έξι μήνες το 2017.

Αξίζει να σημειωθεί πώς παρά τα σκαμπανεβάσματα που παρουσιάζει η αγορά των κρυπτονομισμάτων, τα φαινόμενα του περασμένου έτους με τη διόγκωση της αξίας του Bitcoin έχουν αλλάξει σημαντικά όχι μόνο την παγκόσμια οικονομία, αλλά και τον κόσμο της ψηφιακής ασφάλειας.

Με στόχο την κερδοσκοπία, οι εγκληματίες έχουν αρχίσει να χρησιμοποιούν λογισμικό εξόρυξης στις επιθέσεις τους, οι οποίες, όπως και τα προγράμματα ransomware, έχουν ένα απλό μοντέλο δημιουργίας εσόδων. Σε αντίθεση όμως με τα ransomware, το μοντέλο αυτό δεν καταστρέφει ολοκληρωτικά τους χρήστες και είναι σε θέση να παραμείνει μη ανιχνεύσιμο για μεγάλο χρονικό διάστημα χρησιμοποιώντας την ισχύ του υπολογιστή.

Τον Σεπτέμβριο του 2017, η Kaspersky Lab κατέγραψε μια άνοδο των miners που άρχισαν να εξαπλώνονται ενεργά σε όλο τον κόσμο και προέβλεψε την περαιτέρω ανάπτυξή τους. Οι τελευταίες έρευνες αποκαλύπτουν ότι η ανάπτυξη αυτή δεν έχει μόνο συνεχιστεί, αλλά έχει αυξηθεί και επεκταθεί.

Οι ερευνητές της Kaspersky Lab προσδιόρισαν πρόσφατα μια ομάδα ψηφιακών εγκληματιών με τεχνικές APT στο οπλοστάσιό τους για να «μολύνουν» τους χρήστες με miners. Χρησιμοποιούν τη μέθοδο process-hollowing που χρησιμοποιείται συνήθως σε κακόβουλο λογισμικό και έχει παρατηρηθεί σε μερικές στοχευμένες επιθέσεις από φορείς επιθέσεων τύπου APT, αλλά δεν έχει παρατηρηθεί ποτέ σε επιθέσεις εξόρυξης. 

Πώς λειτουργεί η επίθεση

Το θύμα προσελκύεται ώστε να «κατεβάσει» και να εγκαταστήσει λογισμικό διαφήμισης με το miner installer κρυμμένο στο εσωτερικό του. Αυτό το πρόγραμμα εγκατάστασης αποβάλλει ένα νόμιμο βοηθητικό πρόγραμμα των Windows, με κύριο σκοπό τη λήψη του ίδιου του miner από έναν απομακρυσμένο server. Μετά την εκτέλεσή του, ξεκινά μια νόμιμη διαδικασία συστήματος και ο νόμιμος κώδικας αυτής της διαδικασίας αλλάζει σε κακόβουλο κώδικα. Ως αποτέλεσμα, το miner λειτουργεί με το πρόσχημα μιας νόμιμης εργασίας, οπότε θα είναι αδύνατο για έναν χρήστη να αναγνωρίσει εάν υπάρχει «μόλυνση» εξόρυξης. Είναι επίσης δύσκολο για λύσεις ασφάλειας να ανιχνεύσουν αυτήν την απειλή. Επιπλέον, τα miners σηματοδοτούν αυτή τη νέα διαδικασία με τρόπο που περιορίζει οποιαδήποτε ακύρωση εργασιών. Αν ο χρήστης προσπαθήσει να σταματήσει τη διαδικασία, το σύστημα του υπολογιστή θα επανεκκινήσει. Ως αποτέλεσμα, οι εγκληματίες προστατεύουν την παρουσία τους στο σύστημα για μεγαλύτερο και παραγωγικότερο χρονικό διάστημα.

Με βάση τις παρατηρήσεις της Kaspersky Lab, οι φορείς πίσω από αυτές τις επιθέσεις εξόρυξαν νομίσματα Electroneum και κέρδισαν σχεδόν $7 εκατομμύρια κατά το δεύτερο εξάμηνο του 2017, μέγεθος συγκρίσιμο με τα ποσά που κέρδιζαν οι δημιουργοί προγραμμάτων ransomware.

«Βλέπουμε ότι το ransomware ξεθωριάζει, αλλά δίνει χώρο στα miners. Αυτό επιβεβαιώνεται από τα στατιστικά στοιχεία μας, τα οποία δείχνουν μια σταθερή ανάπτυξη των miners καθ' όλη τη διάρκεια του έτους, καθώς και από το γεγονός ότι οι ομάδες εγκληματικών οργανώσεων αναπτύσσουν ενεργά τις μεθόδους τους και έχουν ήδη αρχίσει να χρησιμοποιούν πιο εξελιγμένες τεχνικές για τη διάδοση λογισμικού εξόρυξης. Έχουμε ήδη δει μια τέτοια εξέλιξη - οι χάκερ με προγράμματα ransomware χρησιμοποιούσαν τα ίδια κόλπα όταν ήταν σε άνοδο», δήλωσε ο Anton Ivanov, Lead Malware Analyst της Kaspersky Lab. 

Συνολικά, 2,7 εκατομμύρια χρήστες δέχτηκαν επίθεση από κακόβουλα miners το 2017, σύμφωνα με τα δεδομένα της Kaspersky Lab. Μέγεθος περίπου 50% υψηλότερο σε σύγκριση με το 2016 (1,87 εκατ.). Οι άνθρωποι πέφτουν θύματα εξαιτίας adware, πειρατικών παιχνιδιών και πειρατικού λογισμικού που χρησιμοποιούν οι ψηφιακοί εγκληματίες για να «μολύνουν» κρυφά τους υπολογιστές τους. Μια άλλη προσέγγιση που χρησιμοποιήθηκε ήταν η διαδικτυακή εξόρυξη μέσω ειδικού κώδικα που βρίσκεται σε «μολυσμένη» ιστοσελίδα. Το πιο ευρέως χρησιμοποιούμενο miner ήταν το CoinHive, που ανακαλύφθηκε σε πολλές δημοφιλείς ιστοσελίδες.