Nedávny únik zo služby Shadow Brokers, ktorý odhalil množstvo špionážnych nástrojov Národnej bezpečnostnej agentúry, má za čo zodpovedať.
Zneužitie odhalené v súboroch už bolo prepojené s masou WannaCry ohnisko, ktoré v júni zlikvidovalo časti NHS, a teraz je údajne na vine za malvér na ťažbu kryptomien, ktorý celosvetovo unáša počítače.
Bezpečnostní výskumníci z TrendMicro nazývajú túto rodinu malvéru na ťažbu kryptomien CoinMiner a je to typ „bezsúborového malvéru“, ktorý sťažuje analýzu a detekciu. Ako už názov napovedá, takéto malvérové hrozby sú bez súborov, čo znamená, že je pre nich jednoduchšie skryť sa v sieti.
Pozri súvisiace
Konkrétna hrozba identifikovaná TrendMicro využíva WMI (Windows Management Instrumentation) na umiestnenie na počítačoch a sieťach. WMI sa používa na automatizáciu úloh na vzdialených počítačoch a umožňuje používateľom pristupovať k dátam správy z týchto počítačov. CoinMiner konkrétne používa skriptovaciu aplikáciu WMI Standard Event Consumer (scrcons.exe) a vstupuje do systému pomocou uniknutej zraniteľnosti EternalBlue – MS17-010.
Takzvaný „tok infekcie“ začína MS17-010. Táto chyba zabezpečenia sa používa na spustenie a spustenie backdoor v systéme, ktorý inštaluje rôzne skripty WMI. Tieto skripty sa spájajú so servermi, aby získali pokyny a stiahli malvér na ťažbu kryptomien.
„Kombinácia bezsúborových skriptov WMI a EternalBlue robí túto hrozbu extrémne nenápadnou a trvalou,“ vysvetľuje TrendMicro Kamarát Tancio. Tancio pokračoval, že ťažobný malvér obsahuje časovač, ktorý automaticky spúšťa škodlivý skript WMI každé tri hodiny.
Čo je malvér na ťažbu kryptomien?
kryptomena je zašifrovaný dátový reťazec, ktorý označuje jednotku meny. Monitoruje sa na systéme peer-to-peer na blockchain. Kryptomeny sa vytvárajú (a šifrujú) v blokoch pomocou algoritmov, ktoré sú udržiavané pomocou techniky známej ako ťažba. Baníci sú za ťažbu týchto blokov finančne odmeňovaní, ale proces zahŕňa sieť počítačov na overenie transakcií a je to neuveriteľne výpočtovo náročná úloha, ktorá si vyžaduje špičkové procesory a grafické karty, ako aj obrovské množstvo moc.
ČÍTAJTE ĎALEJ: Čo je to blockchain?
Kyberzločinci používajú ťažobný malvér na pripojenie stoviek a tisícok počítačov k sieťam, aby zvýšili svoj výnos z ťažby bez toho, aby museli investovať do ďalšieho hardvéru. Malvér na ťažbu kryptomien je navrhnutý tak, aby „zombizoval“ botnety počítačov a šíri sa podobným spôsobom ako iné hrozby, vrátane spamových e-mailov a škodlivých adries URL.
„Už v roku 2011 sme boli svedkami objavenia sa hackerských nástrojov a zadných vrátok súvisiacich s kyberkriminálnou ťažbou bitcoínov a odvtedy sme videli rôzne hrozby ťažby kryptomien, ktoré pridávajú ďalšie možnosti, ako napríklad distribuované odmietnutie služby a spoofing URL,“ analytik hrozieb TrendMicro Kevin Y Huang povedal. "V roku 2014 sa hrozba preniesla na zariadenia s Androidom ako Kagecoin, ktorý je schopný ťažiť bitcoiny, litecoiny a dogecoiny."
Čo je EternalBlue?
EternalBlue je názov pre softvérovú zraniteľnosť operačného systému Windows od spoločnosti Microsoft. Spoločnosť Microsoft vydala aktualizáciu zabezpečenia na opravu chyby v marci (predtým, ako zasiahol ransomvér WannaCry).
Funguje tak, že využíva Microsoft Server Message Block 1.0 vo viacerých verziách systému Windows vrátane Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 a Windows Server 2012 R2, Windows RT 8.1, Windows 10 a Windows Server 2016.
Po útoku WannaCry vybudovali bezpečnostní experti z Esetu a bezplatný nástroj ktorý skontroluje, či je vaša verzia systému Windows zraniteľná voči EternalBlue. Vo všeobecnosti sa tiež oplatí mať aktuálne informácie o aktualizáciách softvéru.
Obrázok: TrendMicro
