Miten laittomat kryptolouhintaohjelmat toimivat?
Laittomia kryptolouhintaohjelmia on kahta päätyyppiä:
1. Binääripohjainen – haitalliset sovellukset, jotka on ladattu ja asennettu kohdistettuun laitteeseen tavoitteena louhia kryptovaluuttaa. ESETin turvallisuusratkaisut luokittelevat useimmat näistä sovelluksista troijalaisiksi.
2. Selainpohjainen – haitallinen JavaScript, joka on upotettu verkkosivuun tai johonkin sen osiin/kohteisiin ja joka on suunniteltu louhimaan kryptovaluuttaa selaimien tai sivuston kävijöiden kautta. Tämä menetelmä on nimeltään kryptokaappaus ja siitä on tullut yhä suositumpi verkkorikollisten keskuudessa vuoden 2017 puolivälin jälkeen. ESET tunnistaa suurimman osan kryptokaappaus-komentosarjoista mahdollisesti ei-toivottuina sovelluksina (PUA).
Varoitus
Useimmat laittomat kryptolouhintaohjelmat yrittävät louhia Moneroa tai Ethereumia. Nämä kryptovaluutat tarjoavat verkkorikollisille useita etuja paremmin tunnetun bitcoinin sijaan: niillä on parempi maksutapahtuman anonymiteetti ja mikä tärkeintä, niitä voidaan louhia tavallisilla prosessoreilla ja näytönohjaimilla kalliiden ja erikoistuneiden laitteiden sijaan. Kryptolouhinta- ja kryptokaappaus-hyökkäyksiä on havaittu kaikilla suosituilla työpöytäalustoilla sekä Android- ja iOS-käyttöjärjestelmissä.
Miksi PK-yritysten tulisi huomioida laittomat kryptolouhintaohjelmat?
Yhteensä 30 % Ison-Britannian organisaatioista joutui kryptokaappauksen kohteeksi edellisen kuukauden aikana. Tämän osoittaa tuore tutkimus, joka suoritettiin 750 isobritannialaisen IT-johtajan keskuudessa. Nämä tilastot dokumentoivat kahta asiaa:
1. Vaikka laiton kryptolouhinta aiheuttaa näennäisesti alhaisemman uhan, organisaatioiden ei tulisi aliarvioida sen riskiä. Louhinta kaappaa yleensä ison osan laitteiston prosessointitehosta vähentäen siten suorituskykyä ja tuottavuutta. Paljon energiaa käyttävä prosessi aiheuttaa lisää rasitusta laitteiston komponenteille ja voi vahingoittaa hyökkäyksen kohteeksi joutuneita laitteita lyhentämällä niiden käyttöikää.
2. Kryptolouhintaohjelmat paljastavat haavoittuvuuksia organisaation kyberturvallisuudessa, mikä voi johtaa mahdollisesti ankarampiin kompromisseihin ja häiriöihin. Paremman ja keskittyneen suorituskykynsä vuoksi yrityksen infrastruktuurit ja verkot ovat arvokkaampi kohde kuin kuluttajan laitteet luvaten hyökkääjälle parempaa tuottoa lyhyemmässä ajassa.
Miten kryptolouhinta-hyökkäyksen tunnistaa?
Kryptolouhinta ja kryptokaappaus liitetään yleensä erittäin korkeaan prosessoritoimintaan, jolla on havaittavissa sivuvaikutuksia. Tarkkaile seuraavia:
- Infrastruktuurin suorituskyky ja tuottavuus ovat selvästi heikentyneet
- Epätavallinen energiankulutus
- Epäilyttävä verkkoliikenne
Android-laitteissa muita laskennallisen kuormituksen syitä:
- Lyhyempi akun kesto
- Huomattavasti lisääntynyt laitteen lämpötila
- Tuotteen alhaisempi tuottavuus
- Pahimmassa tapauksessa akun “turvotuksen” aiheuttama fyysinen vahinko
Miten voit suojata organisaatiotasi kryptolouhinnalta?
1. Suojaa päätelaitteet, palvelimet ja muut laitteet luotettavilla ja monikerroksisilla turvallisuusratkaisuilla, jotka kykenevät havaitsemaan mahdollisesti ei-toivotut (PUA) kryptolouhinta-komentosarjat sekä kryptolouhinta-troijalaiset.
2. Ota käyttöön Intrusion Detection Software (IDS), joka auttaa tunnistamaan epäilyttävät verkkomallit ja kommunikaation, joka liittyy mahdollisesti laittomaan kryptolouhintaan (saastuneet verkkotunnukset, lähtevät yhteydet tyypillisistä louhintaporteista kuten 3333, 4444 tai 8333, pysyvyyden merkit jne.).
3. Lisää verkon näkyvyyttä etähallintakonsolilla, jolla voit valvoa turvallisuuskäytäntöjä, seurata järjestelmän tilaa sekä yrityksen päätelaitteiden ja palvelimien suojausta.
4. Kouluta kaikkia työntekijöitä (myös korkeinta johtoa ja verkon järjestelmänvalvojia) siinä, miten säilyttää hyvä kyberhygienia ja luoda vahvoja salasanoja, jotka vahvistetaan kaksivaiheisella tunnistamisella lisäämällä yrityksen järjestelmien suojausta, mikäli salasanat vuotavat tai ne koodataan.
Lisätoimenpiteet
5. Noudata pienimmän etuoikeuden periaatetta. Kaikilla käyttäjillä tulisi olla mahdollisimman vähän käyttöoikeuksia sisältäviä käyttäjätilejä, joiden avulla he voivat suorittaa nykyiset tehtävänsä. Tämä lähestymistapa pienentää merkittävästi riskiä siihen, että käyttäjiä ja järjestelmänvalvojia manipuloidaan avaamaan tai asentamaan kryptolouhintaohjelmia tai muita haittaohjelmia laitteeseen, joka on liitetty yrityksen verkkoon.
6. Käytä sovelluksen ohjaimia, jotka rajaavat sallittavan ohjelmiston minimiin ja estävät kryptolouhintaohjelmien asennuksen.
7. Ota käyttöön hyvä päivitys ja tiedoston paikkauskäytäntö vähentääksesi huomattavasti riskiä sille, että organisaation turvallisuus vaarantuu aiemmin tunnettujen uhkien kautta, koska monet edistykselliset kryptolouhintaohjelmat käyttävät tunnettuja uhkia kuten EternalBlueta ensisijaiseen levittämiseen.
8. Valvo yrityksen järjestelmiä liiallisen virrankäytön tai muunlaisen poikkeavan energiankulutuksen kannalta, joka saattaa osoittaa ei-toivotun kryptolouhinnan.
Estä kryptolouhinta nyt
ESET PROTECT
Advanced
Saat tehokkaan suojan kryptolouhinnalta ESETin monikerroksisella päätelaitteen turvallisuusjärjestelmällä, joka kykenee havaitsemaan mahdollisesti ei-toivotut (PUA) kryptolouhinta-komentosarjat sekä kryptolouhinta-troijalaiset. Sisältää Ransomware Shieldin ja LiveGrid®-suojauksen pilven kautta sekä verkkohyökkäyssuojauksen. Yhdistä tehokas ESET-tarkistusmoduuli ja ESET PROTECT Cloud saadaksesi tarkan näkyvyyden verkkoon.
