Касперский майнинг: Скрытый майнинг и ботнеты | Блог Касперского – Как продукты «Лаборатории Касперского» защищают от веб-майнеров

Содержание

Скрытый майнинг и ботнеты | Блог Касперского

За последнее время вы наверняка хоть раз да слышали о таком явлении, как майнинг — и о том, как стремительно оно набирает обороты. В общем, тенденция такова: майнить, то есть достраивать блоки в блокчейне и получать в награду за это криптовалюту, хочет все больше людей, и они придумывают для этого все более изощренные способы. В том числе — незаконные. И в том числе они норовят сделать это за ваш счет.

Зачем майнерам нужен ваш компьютер

Мы уже писали про то, что такое ботнет, и про то, как злоумышленники могут «зомбировать» ваш компьютер, сделав его частью ботнета. Сети из таких зомби-устройств используются для самых разных целей, и в том числе злоумышленники подключают их к процессу майнинга.

По сути, ваш компьютер становится частью распределенной сети, вычислительные мощности которой используются для добычи какой-нибудь криптовалюты на благо владельца ботнета. Несколько тысяч компьютеров в ботнете добывают криптовалюту значительно эффективнее, чем один, да и за недешевое электричество в этом случае платят жертвы, так что скрытно ставить программы-майнеры на компьютеры пользователей для злоумышленников очень даже выгодно.

Вообще, программу-майнер рядовой пользователь может установить самостоятельно — если он осознанно собрался добывать таким образом криптовалюту. В этом и заключается сложность: как отличить легальный майнинг от нелегального? Программы-то одни и те же. Разница в том, что злоумышленники сначала пытаются тайком установить программу на компьютер без ведома пользователя, а затем скрыть ее работу.

Как скрытый майнер попадает на ваш компьютер

В большинстве случаев майнер попадает на компьютер при помощи специально созданной зловредной программы, так называемого дроппера, главная функция которого — скрытно ставить другое ПО. Такие программы обычно маскируются под пиратские версии лицензионных продуктов или под генераторы ключей активации к ним — что-нибудь в таком духе пользователи ищут, например, на файлообменниках и сознательно скачивают. Вот только иногда то, что они скачали, оказывается не совсем тем, что они хотели скачать.

После запуска скачанного файла на компьютер жертвы ставится собственно установщик, а он уже закачивает на диск майнер и специальную утилиту, маскирующую его в системе. Также в комплекте с программой могут поставляться cервисы, которые обеспечивают его автозапуск и настраивают его работу.

Например, такие сервисы могут приостанавливать работу майнера, если пользователь запускает какую-нибудь популярную игру: поскольку майнер использует мощности видеокарты, игра может начать тормозить, а пользователь — о чем-то подозревать.

Также подобные сервисы могут пытаться выключить антивирус, приостанавливать работу майнера, если запущена программа для мониторинга активности системы или запущенных процессов, и восстанавливать майнер в случае, если пользователь его удалит.

Масштабы бедствия

Подобные программы распространяются среди злоумышленников как услуга — скажем, в мессенджере Telegram, в каналах, посвященных заработку в Интернете, можно встретить объявления, предлагающие пробную версию такого сборщика-упаковщика для распространения скрытого майнера.

Чтобы вы представляли себе масштабы происходящего: недавно наши эксперты обнаружили ботнет, состоящий, по приблизительным подсчетам, из нескольких тысяч компьютеров, на которых был скрытно установлен майнер Minergate. С его помощью злоумышленники добывают не популярный биткоин, а в основном те криптовалюты, которые позволяют скрыть транзакции и то, кому принадлежит кошелек. Например, это Monero (XMR) и Zcash (ZEC). По самым скромным оценкам, майнинговый ботнет приносит своим владельцам от $30 000 в месяц. А через кошелек, в который майнит обнаруженный нашими экспертами ботнет, уже успело пройти более $200 000.

Кошелек Monero, используемый вышеупомянутыми владельцами ботнета. На данный момент 1 Monero стоит около $120

Как от этого защититься

От вредоносных программ-дропперов Kaspersky Internet Security защитит вас по умолчанию — просто убедитесь, что антивирус всегда включен, и такой зловред просто не попадет на ваш компьютер. Если же вы решили проверить систему уже после того, как у вас появилось подозрение, KIS также сразу обнаружит этот полноценный троян, и от него надо в любом случае избавиться.

А вот майнеры, в отличие от дропперов, как мы уже упомянули, — программы не зловредные. Потому они входят в выделенную нами категорию Riskware — ПО, которое само по себе легально, но при этом может быть использовано в зловредных целях (подробнее о том, что туда входит, можно почитать здесь). По умолчанию Kaspersky Internet Security не блокирует и не удаляет такие программы, поскольку пользователь мог установить их осознанно.

Но если хотите подстраховаться и уверены, что не собираетесь пользоваться майнерами и прочим ПО, которое входит в категорию Riskware, то вы всегда можете зайти в настройки защитного решения, найти там раздел Угрозы и исключения и поставить галочку напротив пункта Обнаруживать другие программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя. Главное — проверяйте свою систему регулярно, и тогда защитное решение поможет вам избежать установки и использования любых нежелательных программ.

Как продукты «Лаборатории Касперского» защищают от веб-майнеров

Вокруг то и дело говорят о криптовалютах, ICO и вообще блокчейне. И если вы думали, что вас это не касается, то спешим вас разочаровать: касается, и еще как. Дело в том, что курсы многих криптовалют за этот год выросли в несколько десятков раз, проще говоря, они стали очень дорогими. И если раньше злоумышленники ими просто интересовались, то теперь заинтересовались очень пристально.

Что такое майнер?

Даже если вы никогда в жизни не заводили никаких кошельков для криптовалюты и понятия не имеете, зачем это нужно, вы все равно интересуете злоумышленников: у вас есть компьютер, на котором эту самую криптовалюту можно «майнить» — добывать при помощи специальных программ-майнеров.

Собственно, словом «майнер» называются как люди, добывающие криптовалюту, так и программы для ее добычи, то есть майнинга (подробнее о том, что такое майнинг, читайте в этом посте). Вы можете установить такую программу самостоятельно — и пользоваться ей на благо себе самому.

Но майнер может оказаться на вашем устройстве и без вашего на то ведома — его может установить злоумышленник, каким-то образом получивший доступ к управлению вашим компьютером или смартфоном. В результате он будет добывать на вашем устройстве криптовалюту — за ваш счет. Это называется скрытый майнинг.

Простыми словами: что такое майнинг и куда делиcь все видеокарты

 Почему антивирус детектирует майнеры

«Ну и пусть себе майнит, — можете сказать вы. — Мне он не мешает, ничего у меня не ворует, пущай развлекается». Однако майнинг на пользу чужого дяди для вас не выгоден — и вот почему:

  • Майнинг — очень ресурсоемкий процесс. Он существенно загружает мощности процессора и видеокарты, и в результате компьютер начинает тормозить.
  • Нагрузка на процессор и видеокарту означает не только «тормоза», но и повышенный расход электроэнергии. Очень серьезно повышенный: по сравнению с тем, сколько энергии потребляет компьютер, когда за ним работает среднестатистический офисный сотрудник, при активации майнера расход вырастает примерно в пять раз. Счет за электричество вас не порадует.
  • Повышенная нагрузка не идет на пользу электронике — она может привести к преждевременному выходу компьютера из строя.

То есть для антивируса есть вполне существенные поводы детектировать майнеры и блокировать их запуск — они мешают вам работать, кушают ваше электричество и потихоньку изнашивают электронику. По сути, паразитируют на вашем компьютере.

С другой стороны, вы могли поставить себе майнер и сами — чтобы добывать криптовалюту для себя. Антивирус не всегда может самостоятельно определить, поставили ли майнер именно вы или он появился в системе не по вашей воле. Поэтому, например, если Kaspersky Internet Security и остальные наши защитные решения уверены в том, что это сделали не вы, то они детектируют майнер как трояна и препятствуют его запуску. А если не уверены, то они тоже детектируют майнеры, но как Not-a-virus, то есть не считают их полностью зловредными, однако обращают ваше внимание на их присутствие в системе.

Что такое Not-a-virus

Если вы сознательно поставили майнер и уведомления от антивируса вам не нужны, вы можете их отключить. Для этого зайдите в настройках Kaspersky Internet Security в раздел «Дополнительно»-«Угрозы и обнаружение» и снимите там галку с пункта «Детектировать другие программы» — тогда антивирус не будет обращать внимание на присутствие майнеров в системе. По умолчанию, кстати, эта галка снята.

Что такое веб-майнер и чем он отличается от просто майнера

Помимо обычных майнеров, бывают еще веб-майнеры. По сути, веб-майнер представляет собой скрипт, размещенный на сайте. Когда пользователь заходит на такой сайт, скрипт запускается в его браузере и начинает майнить криптовалюту.

Подобный скрипт может установить как веб-мастер этого сайта, решивший монетизировать его таким образом, так и злоумышленник, получивший доступ к управлению сайтом. Деньги в обоих случаях получает тот, кто веб-майнер установил, плюс еще какая-то часть уходит создателям скрипта в качестве комиссионных.

Принципиальное отличие веб-майнеров от обычных майнеров состоит в том, что веб-майнеры не требуют установки каких-то дополнительных программ на компьютер, все происходит прямо в окне браузера. И с точки зрения антивируса это выглядит, как обычная вкладка браузера, которая просто потребляет очень много ресурсов.

Компьютер при этом точно так же тормозит и громко шуршит вентилятором, а счет за электричество оказывается больше, чем обычно. Те же самые веб-майнеры работают и на смартфонах или планшетах, причем для них они могут быть даже опасными — из-за повышенной нагрузки устройство может перегреться и какой-то из его компонентов рискует выйти из строя.

Эксперты «Лаборатории Касперского» предсказывают, что веб-майнеры могут стать самой распространенной угрозой 2018 года. В 2017-м наши защитные решения предотвратили запуск веб-майнеров более 70 миллионов раз, и чем дальше, тем чаще мы наблюдаем использование таких скриптов. Самый распространенный веб-майнер называется CoinHive — он попадается в подавляющем большинстве случаев.

От шифровальщиков — к веб-майнерам

Как продукты «Лаборатории Касперского» защищают от майнеров

Чтобы обнаружить веб-майнер, защитное решение, установленное на компьютере, должно обладать возможностью понимать, что происходит в браузере. У Kaspersky Internet Security 2017 такая возможность была реализована лишь частично, а вот у Kaspersky Internet Security 2018 и других наших продуктов последнего поколения, в том числе у Kaspersky Free последней версии, она работает в 100% случаев.

Так что если у вас установлено какое-то из наших современных защитных решений, можете не бояться веб-майнеров: антивирус их обнаружит и не позволит их запустить.

При этом если обычный майнер пользователь мог установить сознательно, то вот веб-майнер — это наверняка нежелательная активность и ее точно нужно блокировать. Поэтому Kaspersky Internet Security 2018 определяет веб-майнеры как зловредные программы и блокирует их в любом случае — вне зависимости от того, установлена в настройках галка «другие программы» или нет.

Поскольку в 2018 году веб-майнеры наверняка получат более широкое распространение, мы рекомендуем сделать вот что:

  • Установите надежное защитное решение. Kaspersky Internet Security защищает как от веб-майнеров, так и от обычных майнеров — а заодно и от троянов, которые могут загрузить майнер на компьютер.
  • Если вы уже пользуетесь защитными решениями «Лаборатории Касперского», обновите их до последней версии. Это бесплатно, а защита станет надежнее.

Майнер в вашем офисе | Блог Касперского

Как известно, домашний майнинг на собственных ресурсах — не самое прибыльное занятие. Вкладывать деньги в создание мощных майнинговых ферм рискованно, да и за электроэнергию платить не очень хочется. Поэтому все чаще любители криптовалюты стараются использовать для этого чужое оборудование.

Ущерб от таких действий однозначен: во-первых, оборудование перегревается, а потому быстрее выходит из строя, во-вторых, бизнес-процессы замедляются из-за постоянной сторонней нагрузки, а в-третьих, с какой стати вы должны оплачивать чужие счета за электроэнергию?

Методы майнинга на чужом оборудовании

Рассматривать совсем экстремальные варианты вроде недавнего инцидента в Китае, где местный житель проложил по дну рыбных прудов кабель и воровал электричество для майнинга с нефтедобывающей установки, мы не будем. Это тоже проблема, но она относится к физической безопасности, а не информационной. Если не вдаваться в подробности использования конкретных инструментов, остаются три основных метода:

Веб-майнинг

Это, вероятно, самый распространенный способ. Все, что нужно злоумышленникам — это запустить в вашем браузере вредоносный процесс. Как правило, для этого они внедряют свои скрипты на часто посещаемые сайты или в рекламные баннеры и в фоновом режиме используют ресурсы посетителей для собственного обогащения.

Сомнительно, что веб-майнинг кто-то будет применять против конкретной компании, однако ваши сотрудники могут зайти на совершенно безобидный сайт и, сами того не желая, предоставить злоумышленникам ваши ресурсы. В прошлом году рекламные баннеры с майнящими скриптами находили даже на YouTube.

Вредоносный майнинг

Тут, по сути, ничего нового — обычное заражение вредоносными программами. Просто на этот раз они не шифруют и не воруют данные, а тихо добывают криптовалюту. Причем, поскольку внешне работа майнеров заметна только по стремительному падению быстродействия компьютеров, факт заражения может достаточно долго оставаться незамеченным.

Методы распространения майнеров в этом случае стандартны: фишинговые письма и ссылки, уязвимости в программном обеспечении и так далее. Порой злоумышленникам удается заразить серверы, что увеличивает их прибыль (и ваши потери) в несколько раз. Иногда майнеры находят в информационных киосках и электронных табло, где они могут существовать годами, не привлекая особого внимания.

Инсайдерский майнинг

Опаснее всего третий вариант — инсайдерский майнинг. Суть его сводится к тому, что недобросовестные сотрудники сознательно устанавливают и запускают программы для майнинга на вашем оборудовании. Опасен он в первую очередь потому, что такой процесс нельзя классифицировать как однозначно вредоносный. Он ведь запущен пользователем.

Разумеется, проще всего запустить майнер в сети небольшой компании — меньше шансов, что его там заметят. Однако пострадать от действий таких злоумышленников могут даже правительственные организации. Месяц назад в Австралии был осужден госслужащий, воспользовавшийся своим служебным положением для того, чтобы майнить на правительственных вычислительных мощностях .

Как заметить майнинг?

Первый симптом — тормоза. Если все свободные ресурсы вашего компьютера заняты майнингом, то остальные процессы будут работать ощутимо медленнее, чем должны. Понятно, что это достаточно субъективный показатель (на разных машинах приложения вообще работают с разной скоростью), но резкое падение производительности заметить можно.

Второй — повышение температуры. Перегруженные процессоры выделяют значительно больше тепла, поэтому системы охлаждения начинают больше шуметь. Если кулеры в ваших компьютерах внезапно стали работать громче обычного, это повод задуматься.

Впрочем, надежнее всего установить защитное решение, которое сможет точно определить, майнят ли на вашем оборудовании или нет.

Как уберечь свои ресурсы от майнинга?

По-хорошему, против всех трех методов хорошо помогает Kaspersky Endpoint Security for Business. Веб-контроль выявит майнер на открытом сайте, а технологии, служащие для защиты от вредоносов, не дадут установить майнер-троян на компьютер. С инсайдерским майнингом чуть сложнее — потребуется вмешательство администратора.

Поскольку приложения этого класса не обязательно вредоносны, они классифицируются как потенциально опасные. Поэтому админу придется на уровне компании запретить использование потенциально опасного софта и добавить в исключения необходимые инструменты вроде средств удаленного доступа (если они, конечно, используются).

Что такое майнинг и куда делиcь все видеокарты — простыми словами

Вы наверняка слышали из новостей, что из продажи пропали все видеокарты. Вы даже узнали оттуда, кто все скупил — майнеры. Они «майнят» криптовалюту на своих «фермах». Уверен, что вы слышали про самую известную криптовалюту — Биткойн.

Но еще я полагаю, что вы не очень понимаете, почему это началось именно сейчас, в чем конкретно состоит этот самый майнинг и почему вообще так много шума вокруг каких-то странных «электронных фантиков». Может, если все занялись майнингом, то и вам надо? Давайте разберемся в сути происходящего.

Блокчейн

Для начала немного основ биткойна и блокчейна. Подробнее вы можете почитать об этом в другой нашей статье, а тут я напишу совсем коротко.

Биткойн — децентрализованные виртуальные деньги. То есть нет какого-то центрального органа, никто не доверяет никому, но тем не менее можно безопасно организовать платежи. Помогает в этом блокчейн.

Технология блокчейн, на мой взгляд, — это новый интернет. Это идея такого же уровня, как интернет.

— Герман Греф

Блокчейн — это такой интернет-дневник. Блокчейн представляет собой последовательную цепочку блоков, в каждом из которых записаны транзакции: кто и кому сколько биткойнов перевел. На английском его еще называют ledger — буквально «гроссбух». Собственно, гроссбух и есть — но с парой важных особенностей.

О биткоине очень просто

Первая ключевая особенность блокчейна — все полноценные участники сети Биткойн хранят всю цепочку блоков со всеми транзакциями за все время. И постоянно дописывают в конец новые блоки. Повторю, весь блокчейн у каждого пользователя хранится целиком — и он точно такой же, как у всех остальных участников.

Второй ключевой момент: блокчейн основан на криптографии (отсюда и «крипто» в слове криптовалюта). Правильная работа системы гарантирована математикой, а не репутацией какого-то человека или организации.

Те, кто создают новые блоки, называются майнерами. В награду за каждый новый блок его создатель сейчас получает 12,5 биткойнов. По курсу на 1.07.2017 — это примерно $30 000. Чуть позже мы поговорим об этом подробнее.

Кстати, награды за создание блоков — это единственный способ эмиссии биткойна. То есть все новые биткойны создаются именно с помощью майнинга.

Новый блок создаётся только раз в 10 минут. На это есть две причины.

Во-первых, сделано это для стабильной синхронизации — чтобы за 10 минут успеть распространить блок по всему интернету. Если бы блоки создавались непрерывно всеми желающими, то интернет был бы заполонен разными версиями, и было бы сложно понять, какую из этих версий все должны в итоге дописать в конец блокчейна.

Во-вторых, эти 10 минут тратятся на то, чтобы сделать новый блок «красивым» с математической точки зрения. Только правильный и только красивый блок дописывается в конец дневника-блокчейна.

Почему блоки должны быть «красивыми»

Правильный блок — это значит, что в нем все верно, все по правилам. Основное правило: тот, кто передает деньги, действительно имеет столько денег.

А красивый блок — это такой, свертка от которого имеет много нулей в начале. Подробнее о том, что такое свертка (или «хэш» — результат некоего математического преобразования блока) вы опять-таки можете вспомнить отсюда. Но для нас сейчас это совершенно непринципиально. Важно то, что для получения красивого блока его нужно «трясти». «Трясти» означает незначительно менять блок — а потом проверять, а не стал ли он вдруг красивым.

Каждый майнер непрерывно «трясёт» блоки-кандидаты и надеется, что именно ему повезет первому «натрясти» красивый блок, который и будет включен в конец блокчейна, — а значит, именно этот майнер получит награду в $30 000.

При этом, если вдруг майнеров станет в десять раз больше, то блокчейн автоматически потребует, что для признания нового блока достойным записи в блокчейн он теперь должен быть в десять раз «красивее». Тем самым скорость появления новых блоков сохранится — будет появляться все равно один блок раз в 10 минут. А вот вероятность какого-то конкретного майнера получить награду уменьшится в 10 раз.

Теперь мы готовы ответить на вопрос, зачем же блоки должны быть красивыми. Это сделано для того, чтобы какой-нибудь условный Вася не мог взять и просто переписать всю историю транзакций.

У Васи не выйдет заявить: «Нет, не отправлял я Мише 10 биткоинов, в моем варианте истории нет такого — верьте мне». Ведь в этом поддельном варианте истории блоки обязаны быть красивыми, а как мы знаем, чтобы натрясти хотя бы один такой блок, надо, чтобы все майнеры работали целых 10 минут, куда уж одному Васе справиться.

Майнеры

Концепция понятна, теперь давайте повнимательнее посмотрим на майнеров.

В 2009 году, когда о Биткойне знали только энтузиасты (или скорее даже только его создатели) и стоил он по пять центов за штуку, майнить было легко. Майнеров было немного, допустим, сто. А значит, в среднем за сутки условному майнеру Иннокентию хоть раз выпадала удача натрясти блок и получить награду.

К 2013 году, когда курс Биткойна подрос до сотни долларов за штуку, энтузиастов-майнеров было уже столько, что ждать удачи пришлось бы месяцами. Майнеры стали объединяться в «пулы». Это такие картели, которые трясут один и тот же блок-кандидат все вместе, а потом делят награду на всех по справедливости (пропорционально затраченным усилиям).

Домашняя ферма со значительной мощностью по меркам 2013 года

Потом появились специальные устройства — ASIC. Это такие микросхемы, которые созданы специально для выполнения конкретной задачи. В данном случае «асики» узко заточены под то, чтобы как можно более эффективно «трясти» блоки Биткойна.

Майнинг-мощность «асиков» несопоставимо больше мощности обычного компьютера, который умеет выполнять любые расчеты. В Китае, Исландии, Сингапуре и других странах стали строить огромные «фермы» из систем на ASIC. Выгодно расположить ферму в шахте под землей, потому что там холодно. Еще выгоднее рядом построить ГЭС, чтобы электричество было дешевле.

Итогом этой гонки вооружений стало то, что майнить именно биткойны в домашних условиях стало совершенно неоправданно.

Промышленная ферма для майнинга криптовалют

Майнинг альткоинов или почему видеокарты пропали именно сейчас

Биткойн — первая и самая популярная криптовалюта. Но с приходом популярности криптовалют как явления как грибы стали появляться конкуренты. Сейчас существует порядка сотни альтернативных криптовалют — так называемых альткоинов.

Топ10 криптовалют, отсортированных по рыночной капитализации (суммарной стоимости всех выпущенных монет). Данные на 1.07.2017, источник coinmarketcap.com

Каждый создатель альткоина не хочет, чтобы майнить его монетки было сразу очень сложно и дорого, поэтому он придумывает новые критерии красоты блоков. Желательно такие, чтобы создание специализированных устройств (ASIC) было затруднено или максимально отсрочено.

Все делается для того, чтобы любой фанат этого альткоина мог взять свой обычный компьютер, вносить ощутимый вклад в суммарную мощность сети и получать награду. Для «тряски» при этом используется обычная видеокарта — так уж вышло, что видеокарты хорошо подходят для подобных вычислений. Таким образом при помощи доступности процесса майнинга можно увеличить популярность этого альткоина.

Обратите внимание на вторую строчку в таблице выше — Ethereum. Это сравнительно новая криптовалюта (появилась в 2015 году), но с особыми возможностями. Если коротко, то главное нововведение Ethеreum — возможность включать в блокчейн не только статичную информацию о проведенных платежах, но и интерактивные объекты — смарт-контракты, — которые работают по запрограммированным правилам.

Почему это создало такой ажиотаж мы поговорим в отдельной статье. Пока будет достаточно сказать, что новые свойства Ethereum обеспечили большой интерес «криптоивесторов» и, как следствие, бурный рост ее биржевой цены. Если на начало 2017 года один «эфир» стоил $8, то уже к 1 июня курс пробил отметку в $200.

Майнить именно Ethereum стало особенно выгодно, поэтому майнеры и скупили видеокарты.

Видеокарта Gigabyte специально для майнинга — сразу без всяких ненужных вещей вроде выхода на монитор. Источник

Что будет, если майнеры перестанут майнить

Предположим, что майнить стало невыгодно (прибыль не окупает затраты на оборудование и электрич

Криптомайнеры угрожают бизнес-оборудованию | Блог Касперского

По наблюдениям наших экспертов, заражения программами-вымогателями постепенно уступают ведущие позиции в статистике киберугроз новой проблеме — несанкционированному майнингу криптовалют. Если в 2016–2017 гг. с майнерами столкнулись почти 1,9 млн пользователей, то в 2017–2018 гг. их число выросло почти в полтора раза, до 2,7 млн человек. И все чаще жертвами становятся целые компании, что грозит куда большими потерями.

Преступный, или черный майнинг отличается от законного только тем, что злоумышленники используют оборудование, которое им не принадлежит. Для этого они либо заражают чужие компьютеры , либо заманивают жертв на сайт со скриптами, запускающими процесс майнинга в браузере. Рост популярности черных криптомайнеров начался ничем не примечательно — с атак на домашние компьютеры. Однако рядовые пользователи приносят злоумышленникам копейки, поэтому те начали искать более денежные цели.

Куда выгоднее заразить не домашний компьютер, а сервер: они работают на куда более мощном железе, которое может добывать больше криптовалюты. Кроме того, заражение сервера сложнее заметить (особенно если преступники не слишком жадничают и не пытаются занять своими процессами все ресурсы). И наконец, веб-серверы можно использовать для размещения на них веб-майнеров, которые будут заражать майнинговыми скриптами клиентские браузеры.

Вам это ничего не напоминает? Нам напоминает: вредоносные майнеры следуют тем же путем, которым уже прошли программы-вымогатели, — от домашних компьютеров к бизнес-машинам. Следующим логическим шагом должны стать целевые атаки, рассчитанные на внедрение майнеров в корпоративную инфраструктуру. Наши эксперты ничуть не сомневаются, что скоро и такие примеры обнаружат в дикой природе.

Допустим, кто-то майнит. Ну и что?

Некоторые компании считают вредоносный майнинг незначительной угрозой. Скрытая добыча криптовалюты никак не влияет на сохранность корпоративной информации. Порой она не мешает и бизнес-процессам — в основном потому, что киберпреступники тщательно анализируют нагрузки зараженного сервера и занимают только часть его ресурсов, чтобы их присутствие не обнаружили.

Однако компаниям вряд ли стоит закрывать глаза на попытки темных личностей получить прибыль за их счет, превращая оплаченную ими электроэнергию в криптовалюту. Дополнительная нагрузка ускоряет износ оборудования и приводит к досрочному отказу серверов. Кроме того, если кто-то разместил криптомайнер у вас на сервере, это значит, что преступники уже преодолели вашу защиту и внедрились в инфраструктуру. Может быть, прямо сейчас ваши секреты им и не нужны, однако нет гарантии, что позже они не решат дополнительно «заработать» на краже данных.

Что же делать?

Для начала — следовать рекомендациям, которые мы не устаем повторять: с подозрением относиться ко всем вложениям электронной почты и сообщениям от людей, которых вы не знаете; вовремя обновлять программы; использовать защитные решения — в общем, принимать стандартные меры безопасности. В конце концов, криптомайнеры — вредоносное ПО, и распространяются они теми же методами: через вредоносные почтовые вложения и уязвимости.

В отношении майнеров есть и особые советы. В первую очередь — следите за ресурсами ваших серверов. Если повседневная нагрузка неожиданно и резко выросла, это может быть симптомом скрытого майнера. Кроме того, полезно регулярно проводить аудиты безопасности корпоративной сети. И не стоит забывать, что под угрозой и менее очевидные мишени: системы электронной очереди, платежные терминалы и автоматы для продажи товаров. Заразив армию таких устройств, преступники могут намайнить значительный капитал.

В качестве надежного решения для защиты и серверов, и компьютеров сотрудников советуем использовать Kaspersky Endpoint Security для бизнеса. Этот продукт защищает от вредоносного ПО, блокирует вредоносные сайты, автоматически обнаруживает уязвимости, сам загружает и устанавливает патчи. Он также способен обеспечить безопасность веб-шлюзов, серверов электронной почты, платформ совместной работы и других серверных элементов инфраструктуры. Хотите попробовать? Жмите на баннер ниже.

Вымогатель Rakhni освоил функции майнера

Недавно мы писали о том, что вымогатели постепенно уступают первые строчки в рейтингах самых распространенных киберугроз майнерам. Троян-шифровальщик Rakhni, за которым мы наблюдаем с 2013 года, следуя тренду, пополнился модулем для добычи криптовалюты. Что любопытно, загрузчик вредоносной программы умеет выбирать, какой компонент установить на конкретное устройство. Наши исследователи разобрались, как работает обновленный зловред и чем он опасен.

Целью авторов трояна, судя по всему, являются российские и русскоговорящие пользователи: больше всего атак (95,57%) мы засекли на территории нашей страны, а основным каналом распространения зловреда стала русскоязычная спам-рассылка. В том образце, который в деталях изучили наши специалисты, вредоносное вложение маскировалось под финансовый документ. Это позволяет предположить, что злоумышленников интересуют в первую очередь корпоративные «клиенты».

Вложенный в спам-письмо DOCX-файл содержит PDF-документ. Если пользователь разрешает редактирование и пытается открыть PDF, появляется системный запрос разрешения на запуск исполняемого файла от неизвестного издателя. Получив добро от пользователя, Rakhni начинает действовать.

Очень осторожный зловред

Троян предпринимает целый комплекс мер, чтобы обезопасить себя. Исполняемый при запуске вредоносного PDF файл притворяется средством для просмотра документов. Первым делом зловред демонстрирует жертве сообщение об ошибке, объясняющее, почему ничего не открылось. Затем пытается определить, не попал ли он на компьютер вирусных аналитиков и не работают ли на машине опасные для него антивирусные решения, и проводит еще несколько проверок. После этого он выключает Защитник Windows и устанавливает поддельные цифровые сертификаты. И только почувствовав себя в безопасности, принимает решение, как именно использовать зараженное устройство.

Сделав свое черное дело, вредоносная программа пытается распространиться на другие компьютеры внутри локальной сети. Если на устройствах ваших сотрудников открыт общий доступ к папке «Пользователи», зловред копирует себя на них.

Шифровать или майнить?

Критерий выбора прост: если зловред находит на компьютере жертвы служебную папку под названием Bitcoin, он запускает вымогатель, который шифрует файлы (в том числе документы Office, PDF, изображения и файлы резервных копий) и требует в течение трех дней заплатить выкуп. Размер выкупа и другие подробности злоумышленники обещают сообщить в ответ на запрос по электронной почте.

Если же папок, связанных с биткойнами, на устройстве нет, а его мощность, на взгляд зловреда, достаточна для добычи криптовалюты, он загружает майнер, в фоновом режиме генерирующий токены Monero, Monero Original или Dashcoin. В результате падает производительность устройства и, как следствие, работающего на нем сотрудника.

Как не стать жертвой майнера-шифровальщика?

Чтобы избежать заражения Rakhni и урона, который он может нанести вашей компании, следует критически относиться к входящим письмам, особенно поступившим с незнакомых email-адресов. Если сомневаетесь, открывать ли вложенный файл, — лучше не открывать. Также внимательно читайте предупреждения от операционной системы: приложения неизвестных издателей запускать не стоит, особенно если их название напоминает популярные программы.

Кроме того, в борьбе с майнерами и шифровальщиками в корпоративной сети вам помогут следующие меры:

  • Обучайте ваших сотрудников информационной безопасности и регулярно проверяйте их знания. Если вам нужна в этом помощь, наши специалисты готовы организовать ее для вас.
  • Обязательно делайте резервные копии критически важных данных и храните их на отдельных носителях.
  • Регулярно проверяйте вашу корпоративную сеть на предмет аномалий.
  • Используйте надежные многоуровневые защитные решения, например Kaspersky Endpoint Security для бизнеса.

Даже если вы не используете корпоративные решения «Лаборатории Касперского», это не повод оставлять данные на съедение авторам шифровальщиков. У нас есть специализированный продукт, Kaspersky Anti-Ransomware Tool, который может усилить защитное решение сторонних вендоров. В нем используются самые передовые технологии поведенческого анализа и наши облачные механизмы выявления шифровальщиков.

Скрытые майнеры в Google Play

Если тормозит компьютер, то многие сразу обвиняют в этом вирусы. А вот если неспешно работает, греется или слишком быстро разряжается смартфон, то это обычно списывают на то, что он уже старенький — пора менять. На самом деле проблема может быть вовсе даже не в этом, а в том, что на смартфоне втихомолку прописался майнер криптовалюты.

Для майнинга важна вычислительная мощность. По производительности мобильники, конечно, не идут ни в какое сравнение с настольными компьютерами с продвинутой видеокартой, но находчивые злоумышленники компенсируют это количеством: если речь идет о сотнях тысяч устройств, работающих на любителя обогатиться за чужой счет, овчинка уже начинает стоить выделки.

Собственно, проблема в том, что заразить свой смартфон или планшет скрытым майнером очень просто. Совсем не обязательно ставить майнер сознательно и самостоятельно или скачивать приложения из сомнительных источников, в которых может водиться всякая зараза. Оказывается, подцепить скрытый майнер можно, запустив абсолютно безобидное на вид приложение из официального магазина Google Play.

Майнеры в магазине Google Play

Некоторые майнеры только прикидываются полезными программами или играми, а после установки только показывают рекламу и собственно майнят, не выполняя обещанных функций. Но в Google Play и другие официальные магазины такие подделки стараются не пускать, а если нечаянно и пускают, то быстро находят и удаляют их. Поэтому такие зловредные приложения распространяются в основном через форумы и неофициальные магазины. Однако там их скачивает совсем не так много людей, как мошенникам хотелось бы.

Они нашли выход: если приложение выполняет все полезные функции, заявленные в описании, а зловред аккуратно замаскирован, то есть шанс, что система защиты Google Play его не заметит. Так уже бывало раньше — из сотовых телефонов тогда пытались сделать ботнет. Недавно эксперты «Лаборатории Касперского» нашли еще несколько подобных примеров, на сей раз со встроенным майнером.

Представьте, что вы решили посмотреть трансляцию матча любимой команды. Вы скачиваете футбольное приложение, наслаждаетесь игрой, а в это время встроенный в него скрытый майнер добывает цифровую валюту для своих хозяев. Заметить это довольно сложно: во-первых, вам попросту не до того во время матча, во-вторых, видео тоже нагревает телефон и разряжает батарею, как и майнер.

Именно с футболом оказались связаны самые популярные из найденных нами приложений такого типа. Это целое семейство похожих приложений, которые содержат в названии PlacarTV (placar — это «счет» на португальском): одно из них было загружено более 100 тысяч раз. В него был встроен майнер Coinhive, который во время просмотра добывал для мошенников криптовалюту Monero.

Также наши специалисты нашли майнер в бесплатном приложении для создания VPN-соединения, которое называется Vilny.net. Главная «фишка» этого зловреда в том, что он умеет отслеживать температуру и уровень заряда телефона. А значит, может вовремя приостановить майнинг, не дав устройству перегреться или разрядиться, а его хозяину — заподозрить неладное. Подробнее о находках вы можете прочитать на портале Securelist.

Вот так выглядит детект скрытого майнера. Строго говоря, майнеры попадают в категорию «не-вирусов» — Not-a-virus. Однако это название не делает их более приятными

Мы сообщили об этих находках в Google, и «семейку» PlacarTV со скрытыми майнерами уже удалили из Google Play. А вот Vilny.net все еще остается в официальном магазине. Кроме того, нет гарантий, что уже удаленные зловреды не проникнут туда еще раз (такое уже бывало). Так что надеяться на бдительность сотрудников Google Play не стоит, надо заботиться о своей защите самостоятельно.

Как защититься от скрытых майнеров на Android

  • Обращайте внимание на необычное поведение своего смартфона. Если он сильно нагревается и быстро разряжается без всякой на то причины — это может быть симптом заражения. Отследить, что именно сажает батарею, можно с помощью специальных приложений, например нашего Kaspersky Battery Life.
  • Скачивая новые приложения, обращайте внимание на разработчика. В софте от проверенных разработчиков с хорошей репутацией вероятность встретиться с какой-либо заразой гораздо меньше.
  • Установите на свое устройство Kaspersky Internet Security для Android — антивирус поможет вам обнаружить даже те майнеры, которые не перегревают ваш смартфон и стараются разряжать его постепенно, почти никак себя не проявляя. Телефон даже с таким «аккуратным» майнером все равно изнашивается, а с неаккуратным может и поломаться.

Leave a comment