Cryptojacking
Co je cryptojacking?
Cryptojacking je činnost kyberzločinců, při které využijí malware pro těžbu kryptoměn (cryptominer nebo také těžařský vir) a zmocní se výpočetního výkonu zařízení oběti, který využijí k neoprávněné těžbě kryptoměn. Oběti tak těží kryptoměnu nevědomky, aniž by s tím souhlasily.
Jak funguje nelegální těžba kryptoměn?
Existují dva typy kódů, které se používají pro nelegální těžbu kryptoměny:
- Spustitelný program – škodlivá aplikace, která se stáhne a nainstaluje do cílového zařízení oběti.
- Kód na webu – škodlivý JavaScript vložený do webové stránky, jehož cílem je těžit kryptoměnu prostřednictvím prohlížeče při návštěvě napadeného webu. Skript pro škodlivou těžbu kryptoměn buď útočník nahraje do webových stránek bez vědomí majitele nebo sám majitel kód vloží do stránky místo spuštěných reklam. Na straně oběti není nutné instalovat žádný speciální software.
Útoky typu cryptojacking jsme detekovali na všech populárních počítačových platformách i na mobilních zařízeních s operačním systémem Android. Většinu z nich klasifikujeme jako potenciálně nechtěné aplikace (PUA); některé z detekovaných útoků však spadají do nebezpečnější kategorie trojských koní.
Bitcoin, Ethereum nebo Monero?
Většina škodlivých skriptů a spustitelných souborů pro těžbu kryptoměn dnes těží kryptoměnu Monero nebo Ethereum. Tyto kryptoměny nabízejí kyberzločincům oproti známějšímu Bitcoinu několik výhod: mají vyšší úroveň anonymity transakcí a lze je těžit pomocí běžných procesorů a grafických karet bez nutnosti pořizovat drahý a specializovaný hardware.
Jak poznat, že počítač těží kryptoměnu?
Těžba kryptoměn za využití malwaru je spojena s extrémně vysokou aktivitou procesoru, která má znatelné vedlejší účinky. Oběti často hlásí viditelné snížení výkonu zařízení, jeho přehřívání a také zvýšenou aktivitu ventilátoru (a s tím i znatelný hluk).
Na zařízeních s operačním systémem Android může vést zvýšená výpočetní zátěž ke kratší životnosti baterie, zvýšené teplotě zařízení, nižší výkonnosti nebo dokonce k „nafouknutí“ baterie, a tím k fyzickému poškození nebo zničení zařízení.
Někdy problémy s výkonem způsobují obecné potíže s hardwarem nebo softwarem. Škodlivý cryptojacking však určitě poznáte, když se zvýšená zátěž zařízení projeví až poté, co navštívíte nakaženou webovou stránku, která obsahuje javascriptový kód pro skrytý cryptomining.
Ve firmách si dávejte pozor na následující:
- viditelné snížení výkonu a produktivity infrastruktury,
- neobvykle vysoká spotřeba energie,
- podezřelý síťový provoz.
Jak se můžete chránit před neoprávněnou těžbou kryptoměn?
Používejte spolehlivé a vícevrstvé bezpečnostní řešení nebo antivirovou ochranu, která blokuje nežádoucí aktivity spojené s malwarem pro cryptomining a počítačové viry. Pokud zaznamenáte při návštěvě určité webové stránky výrazně vyšší využití procesoru, zavřete webový prohlížeč.
V některých případech je vhodné restartovat počítač, aby se zavřela i skrytá okna prohlížeče, která pokračují s těžbou na pozadí. Po restartu nenechte webový prohlížeč automaticky obnovit předchozí relaci, protože by se tím mohla znovu otevřít záložka se stránkou neoprávněně těžící kryptoměny
Historie těžby kryptoměn skrz malware
Škodlivé programy pro těžbu kryptoměn se od roku 2017 významně šířily díky nárůstu popularity kryptoměn mezi veřejností. Nejstarší varianty škodlivého kódu měly za cíl proniknout do zařízení oběti a nainstalovat těžební software.
Těžba kryptoměn jako služba
V roce 2017 přinesla pro útočníky zjednodušení nová služba pro těžbu kryptoměn s názvem Coinhive. Na rozdíl od jiných služeb stačilo Coinhive umístit do webových stránek několik řádků JavaScriptu k odcizení výpočetního výkonu zařízení návštěvníků webu. Přestože služba Coinhive byla ukončena, kyberzločinci si tento model podnikání natolik oblíbili, že vytvořili vlastní napodobeniny kryptominingových služeb. Hrozba cryptojackingu je tak stále aktuální.
