Botnety wydobywające kryptowaluty zarabiają miliony dla swoich twórców, potajemnie infekując różne urządzenia na całym świecie.
Według portalu technologicznego ZDNet na początku lutego ponad pół miliona komputerów zostało porwanych przez botnet wydobywający kryptowaluty o nazwie Smominru, zmuszając różne urządzenia do wydobywania prawie 9 000 kryptowalut Monero bez wiedzy właścicieli urządzeń.
Witamy w złośliwym świecie botnetów - kolekcji różnych podłączonych do Internetu urządzeń komputerowych, które mogą obejmować komputery stacjonarne, serwery, przenośne urządzenia mobilne oraz urządzenia zgodne z Internetem przedmiotów (IoT), które są celowo zainfekowane i kontrolowane przez jeden typ złośliwego oprogramowania. Działający mechanizm takich botnetów zapewnia, że właściciele urządzeń w większości nie wiedzą, że botnet jest zainfekowany, a teraz kontrolują swój system.
System pozwala twórcom prowizji w kryptowalutach kosztem nieświadomych właścicieli urządzeń, którzy nie mają pojęcia, że ich maszyny są wykorzystywane do produkcji kryptowalut.
Jak działają botnety?
System botnetowy przypomina standardowe złośliwe oprogramowanie komputerowe. Złośliwe oprogramowanie komputerowe jest jak każdy inny program komputerowy, ale jest przeznaczone do używania komputera do niecnych działań, takich jak uszkodzenie systemu, niszczenie i / lub kradzież danych, lub wykorzystywanie go do nielegalnych działań, które mają szkodliwy wpływ na urządzenie, dane i sieć. Takie złośliwe oprogramowanie, o ile nie zostanie złapane przez programy antywirusowe / anty-malware zainstalowane na urządzeniu, nadal działa bez wiedzy właściciela i jest zdolne do replikacji na innych podłączonych urządzeniach w sieci.
Podobnie, botnety to zautomatyzowane programy opracowane przez twórców jako linie kodu i zmuszone do wkradania się na urządzenie komputerowe użytkownika. Botnety wykorzystują moc obliczeniową maszyny, energię elektryczną i przepustowość Internetu do wydobywania określonej kryptowaluty. (Aby uzyskać więcej informacji, zobacz Jak działa wydobywanie bitcoinów?)
Botnety są zwykle wypuszczane w prywatnej sieci połączonych komputerów, dzięki czemu skumulowana moc różnych urządzeń może skutkować większą mocą obliczeniową do wydobywania kryptowaluty, zwiększając w ten sposób wydajność wydobycia i odpowiednie nagrody dla twórców botnetu.
Studium przypadku Smominru Miner Botnet
Botnet dla górników Smominru, który został utworzony około maja 2017 r., Z powodzeniem wydobył około 9 000 tokenów Monero o wartości około 3, 6 mln USD do lutego 2018 r. Naukowcy z firmy Proofpoint z firmy zajmującej się cyberbezpieczeństwem twierdzą, że botnet obejmuje „ponad 526 000 zainfekowanych hostów Windows, z których większość to serwery. ”
Ze względu na swoją sprężystą naturę i zdolność do ciągłej regeneracji, trudno było powstrzymać rozprzestrzenianie się pomimo wszystkich wysiłków, aby go usunąć. Geograficznie obserwuje się, że węzły botnetu górniczego Smominru są rozmieszczone na całym świecie, a większość z nich znajduje się w Rosji, Indiach i na Tajwanie.
Po przeprowadzonych dochodzeniach i analizach Proofpoint poprosił znaną pulę wydobywczą Monero, MineXMR, o zakazanie adresu powiązanego ze Smominru. Chociaż spowodowało to, że operatorzy najwyraźniej stracili kontrolę nad jedną trzecią botnetu, szybko zarejestrowali nowe domeny i rozpoczęli kopanie pod nowym adresem w tej samej puli.
Monero wydaje się być ulubioną kryptowalutą wydobywaną za pośrednictwem takich botnetów, ze względu na swoją anonimowość i funkcje bogate w prywatność, które utrudniają śledzenie adresu docelowego, na który przenoszone są zaminowane tokeny. (Aby uzyskać więcej informacji, zobacz temat Co to jest kryptowaluta Monero (XMR)?)
Większe nagrody za mniej pracy?
Metody wydobywania różnych kryptowalut stają się z każdym dniem coraz bardziej skomplikowane i zasobochłonne. Zamiast koncentrować się na trudnej, ale uczciwej drodze do czerpania korzyści z wydobywania kryptowalut, operatorzy takich botnetów rozwijają się, nadużywając wszystkich dostępnych trybów, aby rozwinąć swój botnet na coraz większej liczbie urządzeń, i skoncentrować swoje wysiłki i energię na opracowaniu takiego wstępnie zaprogramowanego systemy. Ponadto nadal opracowują wiele sposobów na zwiększenie niezawodności botnetu.
Biorąc pod uwagę znaczny zysk obiecany przez takie botnety, ich liczba i negatywne skutki powinny wzrosnąć.
„Usunięcie botnetu jest bardzo trudne, biorąc pod uwagę jego rozproszony charakter i wytrwałość operatorów. Dla firm zapobieganie infekcjom za pomocą solidnych schematów łatania i zabezpieczeń warstwowych jest najlepszą ochroną przed potencjalnie destrukcyjnym wpływem na infrastrukturę krytyczną ”, powiedział wiceprezes ProofPoint ds. Zagrożeń, Kevin Epstein, News.com.au.
W czerwcu 2017 r. Zastosowano inny podobny exploit o nazwie DoublePulsar, aby zainstalować złośliwe oprogramowanie wydobywające Monero na różnych urządzeniach. Pod koniec stycznia 2018 r. Firma zajmująca się bezpieczeństwem TrendMicro poinformowała, że usługi reklamowe DoubleClick firmy Google firmy Alphabet Inc (GOOGL) zostały wykorzystane do rozpowszechnienia złośliwego oprogramowania wydobywającego kryptowaluty wśród wielu użytkowników w Europie i Azji.
Dolna linia
Podczas gdy infrastruktura kryptowalut wciąż się rozwija, zagrożenia takie pojawiają się w dużych sieciach. Chociaż powstrzymywanie zagrożenia na poziomie poszczególnych użytkowników może być trudne, regularne monitorowanie różnych procesów uruchomionych na poszczególnych urządzeniach może pomóc. (Zobacz także, cena bitcoin spada po skażeniu ransomware „WannaCry”).
