Botnety wydobywające kryptowalutę wróciły i infekują tysiące komputerów, generując setki tysięcy dolarów dla cyberprzestępców

Zespół Kaspersky Lab zajmujący się badaniami nad ochroną przed szkodliwym oprogramowaniem zidentyfikował dwie sieci złożone z komputerów zainfekowanych szkodliwym oprogramowaniem (tzw. botnety), które ukradkiem instaluje legalne oprogramowanie typu „miner” wykorzystywane do „kopania” wirtualnych walut w oparciu o technologię łańcucha bloków. W jednym z przypadków badacze zdołali oszacować, że złożona z 4 000 maszyn sieć może przynieść swoim właścicielom dochód sięgający nawet 30 000 dolarów miesięcznie, w innym przypadku zidentyfikowali zarobek wynoszący ponad 200 000 dolarów, który przestępcy uzyskali dzięki botnetowi złożonemu z 5 000 komputerów PC.

Architektura bitcoinów oraz innych kryptowalut zakłada, że oprócz zakupu pieniędzy użytkownik może samodzielnie wygenerować („wykopać”) nową jednostkę walutową (monetę), wykorzystując moc obliczeniową maszyn, na których zostało zainstalowane wyspecjalizowane oprogramowanie, tzw. koparka. Jednocześnie, zgodnie z koncepcją kryptowalut, im więcej wyprodukowanych pieniędzy, tym więcej czasu i mocy obliczeniowej potrzeba na stworzenie nowej monety. Kilka lat temu szkodliwe oprogramowanie ukradkowo instalujące oprogramowanie do wydobywania bitcoinów (które wykorzystuje komputery ofiar w celu kopania waluty dla cyberprzestępców) stanowiło powszechny element krajobrazu zagrożeń, jednak im więcej bitcoinów zostało już wydobytych, tym trudniej było wykopywać nowe. W pewnym momencie proces ten stał się wręcz bezużyteczny: potencjalny zysk finansowy, jaki przestępca mógł uzyskać z tego rodzaju przedsięwzięcia, nie pokryłby nakładów, jakie należałoby ponieść na przygotowanie i rozprzestrzenianie szkodliwego oprogramowania, jak również niezbędnej infrastruktury.

Jednak cena bitcoina — pierwszej i najbardziej znanej kryptowaluty — która w ciągu kilku ostatnich lat błyskawicznie wzrosła z setek do tysięcy dolarów za jedną monetę, rozpaliła prawdziwą gorączkę kryptowaluty na całym świecie. Setki entuzjastycznych grup i startupów zaczęły wprowadzać własne alternatywy bitcoinów, z których wiele również uzyskało znaczącą wartość rynkową w stosunkowo krótkim czasie.

Te zmiany na rynkach kryptowaluty nieuchronnie zwróciły uwagę cyberprzestępców, którzy wracają do oszustw polegających na ukradkowym instalowaniu oprogramowania do kopania kryptowaluty na tysiącach komputerów.

Wykopane monety są przenoszone do portfeli należących do przestępców, podczas gdy ofiary cierpią w wyniku obniżonej wydajności zainfekowanych komputerów i nieco wyższych niż zwykle rachunków za prąd. Z obserwacji Kaspersky Lab wynika, że cyberprzestępcy zwykle wydobywają dwie kryptowaluty: zcash oraz monero. Waluty te wybierane są prawdopodobnie ze względu na możliwość zapewnienia anonimowości transakcji oraz właścicieli portfeli.

Pierwsze sygnały powrotu szkodliwych programów do wydobywania kryptowaluty zostały zauważone przez Kaspersky Lab już w grudniu 2016 r., gdy badacz z firmy poinformował o co najmniej 1 000 komputerach zainfekowanych szkodliwym oprogramowaniem wydobywającym kryptowalutę Zcash, która została wprowadzona pod koniec października 2016 r. Wtedy — za sprawą szybko rosnącej ceny tej kryptowaluty — botnet był w stanie przynosić swoim właścicielom zysk dochodzący nawet do 6 000 dolarów tygodniowo. Następnie prognozowano pojawienie się nowych botnetów wykorzystywanych do wydobywania kryptowaluty, a wyniki niedawnego badania potwierdzają, że prognozy te były słuszne.

Ogólnie liczba użytkowników, którzy zetknęli się ze szkodliwym oprogramowaniem do wydobywania kryptowaluty, wzrosła znacząco w ostatnich latach. Na przykład w 2013 r. produkty firmy Kaspersky Lab ochroniły około 205 000 użytkowników na całym świecie, którzy stanowili cel tego rodzaju zagrożenia. W 2014 r. liczba ta wzrosła do 701 000, a liczba użytkowników atakowanych w ciągu pierwszych ośmiu miesięcy 2017 r. sięgnęła 1,65 miliona.

Wersja do druku

19.09.2017 r.

Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców, 15:11

Nowa wersja trojana Faketoken dla Androida atakuje użytkowników aplikacji taksówkowych i umożliwiających dzielenie kosztów przejazdów, 15:11

19.09.2017 r.

Sony OLED 4K HDR BRAVIA A1, 15:16

29.09.2017 r.

Jak podnieść sprawność dysków?, 14:04