צריכת אנרגיה חריגה, פעילות מעבד גבוהה, פרודוקטיביות נמוכה של תשתיות הארגון. אלו הם חלק מהסימנים שייתכן שנעשה שימוש לרעה במכשירי הארגון לצורך כריית מטבעות דיגיטליים. איך אתה כמנהל אבטחת מידע בארגון יכול למנוע מכורי מטבעות דיגיטליים להיכנס לרשת הארגון? ולמה בכלל זה חשוב?
כריית מטבעות דיגיטליים (cryptomining) קוד/תוכנה זדונית שמטרתה לנצל את כוח העיבוד של מכשירי הארגון (מחשבים, שרתים, טלפונים וכו...) המטרה לכרות מטבעות דיגיטליים. ברוב המקרים, פעילות הכרייה רצה ברקע בחשאי.
ישנם שני סוגים של כריית מטבעות דיגיטליים:
1. בינארי – תוכה זדונית שמורדת למכשיר ומותקנת עליו במטרה לכרות מטבעות דיגיטליים (פתרונות האבטחה של ESET מקטלגים את רוב התוכנות האלה כסוסים טרויאנים).
2. מבוסס דפדפן – קוד JavaScript זדוני שמוטמע בדף אינטרנט או בחלקים ממנו במטרה לכרות מטבעות דיגיטליים באמצעות הדפדפנים של מבקרי האתר.
שיטה זו נקראת Cryptojacking והיא הפכה לפופולרית מאוד בקרב עברייני רשת החל מאמצע 2017. (מוצרי ESET מזהים את רוב הסקריפטים הללו כתוכנות לא-רצויות Potentially Unwanted Applications, PUAs).
ככל שמטבעות דיגיטליים הופכים פופולריים יותר ובעלי ערך רב יותר, הלגיטימיות של תשלום במטבעות אלה מהמיינסטרים, מייצרת הזדמנויות לתוקפים. לא פלא שבין ינואר לאפריל 2021, מספר איומי המטבעות דיגיטליים עלו בכמעט 19%, חושף דו"ח האיומים של ESET
באותה תקופה חלה גם עלייה בערך המטבעות הדיגיטליים, כך שניתן לראות את המתאם בין עליית הערך של מטבעות דיגיטליים ושימוש בכריית מטבעות דיגיטליים. ישנן סיבות מרובות לכך שמטבעות דיגיטליים הופכים למטרה אטרקטיבית עבור פושעי סייבר, שלעתים קרובות מבצעים את פעילותם הבלתי חוקית באמצעות שרתי החברה, כולל אלה המשמשים עסקים קטנים.
קל לכרות מטבעות דיגיטליים למול סיכון נמוך
כריית מטבעות דיגיטליים הינה פשע סייבר בסיכון נמוך יחסית המניב לתוקפים רווחים. התוקפים עושים שימוש לרעה במכשירים אלקטרוניים (מחשבים, שרתים וכו') כדי לכרות מטבעות דיגיטליים, כאשר הם שותלים קוד זדוני שגונב בחשאי את כוח העיבוד. מכשירי חברה מפתים יותר ממכשירים פרטיים - מכיוון שהביצועים שלהם בדרך כלל גבוהים וחזקים יותר, פושעי סייבר מצליחים גם לכרות יותר מטבעות בפרק זמן קצר יותר.
מכיוון שכריית המטבעות דיגיטליים בדרך כלל פועלת ברקע, די קשה לזהות מתי מכשיר מנוצל לרעה. ובכל זאת, חשוב לשים לב לסימנים. כאשר המכשיר מנוצל לרעה, הוא יהיה בדרך כלל איטי יותר והביצועים שלו יורדים. תמרור אזהרה נוסף הוא צריכת אנרגיה חריגה, כמו גם תעבורה חשודה ברשת.
עסקים קטנים ובינוניים לא מייחסים חשיבות לסיכון
האם זו בעיה שרלוונטית לעסקים קטנים? לכאורה, איום מסוג כריית מטבעות דיגיטליים אינו חמור כמו איומי סייבר אחרים. עם זאת, גם להם יש פוטנציאל לשתק את העסק. "כרייה בדרך כלל חוטפת חלק גדול מכוח העיבוד של החומרה, ומפחיתה את הביצועים והפרודוקטיביות. התהליך גורם ללחץ נוסף על רכיבי החומרה ועלול לפגוע בשרתים ומחשבים, ולקצר את תוחלת החיים שלהם", מסביר אנדריי קובובויץ' מנהל מודעות האבטחה של ESET.
הסיכון אפילו גבוה יותר מאחר ותוכנה לכריית מטבעות דיגיטליים יכולה גם להוביל לשיבושים משמעותיים עוד יותר, מכיוון שהיא חושפת נקודות תורפה בתשתית החברה ובמצב אבטחת הסייבר, שיכולות להיות מנוצלות לרעה על ידי גורמים זדוניים אחרים - לפעמים אפילו מתקדמים ומתוחכמים - או הקוד שלהם.
כורי מטבעות דיגיטליים בררניים
איך בכלל מדביקים את המכשירים? ישנם מספר סוגי תוכנות זדוניות ואסטרטגיות אפשריות. התוכנה הזדונית מותקנת במכשיר, או מוטמעת בדף אינטרנט. במקרה האחרון, פושעי סייבר מטמיעים JavaScript מזיק בדף אינטרנט (או חלק ממנו), שתוכנן במיוחד לכרות מטבעות דיגיטליים. טכניקה זו נקראתcryptojacking, והיא מכוונת בעיקר לאתרי טורנט, סטרימינג בחינם או פורנוגרפיה, שבהם משתמשי אינטרנט נוטים לבלות יותר זמן ובכך מאפשרים לכורה לכרות יותר.
מטבע הקריפטו הפופולרי ביותר שהתוקפים חושקים בו בדרך כלל הוא מונרו (Monero)או את'ריום (Ethereum) המטבעות דיגיטליים האלה נותנים לפושעי הסייבר מספר יתרונות לעומת הביטקוין המוכר יותר: ההעברות אנונימיות יותר וניתן לכרות אותם באמצעות מעבדים וכרטיסי מסך רגילים (CPU,GPU) – זאת לעומת ביטקוין שיש לרכוש חומרה מיוחדת ויקרה עבור כרייתו.
מעניין שרוב התוכנות הזדוניות של כריית מטבעות דיגיטליים שזוהו אינן סוסים טרויאנים, אלא יישומים לא רצויים (PUA) כלומר תוכנות שעלולות לבצע פעילויות שאינן מאושרות או צפויות על ידי המשתמש. קטגוריה זו כוללת תוכנות פרסום, תוכנות מעקב ועוד. תוכנה כזו עלולה להיות מותקנת בטעות או עקב חוסר ידע, ולכן מומלץ להגביל את ההרשאות הניהוליות בארגון על מנת לצמצם את גורם הסיכון האנושי הכרוך בכך.
כיצד להגן על הארגון שלכם מפני כריית מטבעות דיגיטליים?
1. הגנו על תחנות הקצה, השרתים ויתר המכשירים בארגון באמצעות פתרונות אבטחה מהימנים ורב-שכבתיים המסוגלים לזהות תוכניות זדוניות לכריית מטבעות דיגיטליים.
2. הטמיעו תוכנות לזיהוי פריצה (Intrusion Detection Software, IDS) שעוזרות לזהות דפוסי רשת חשודים ותקשורות שעשויות להיות קשורות לכריית מטבעות (כתובות אינטרנט מודבקות, תקשורות יוצאות באמצעות פורטים טיפוסיים לכריית מטבעות כמו 3333, 4444 או 8333, סימנים להתמדה וכו') ולהגדיל את נראות הרשת באמצעות ממשק ניהול מרחוק, שירכז את כל המידע במקום אחד.
3. אל תיתנו הרשאות כברירת מחדל יש לספק למשתמשים כמה שפחות הרשאות, כאלה שיאפשרו להם לבצע את עבודתם ולא יותר. גישה זו מקטינה משמעותית את הסיכון שמשתמשים ומנהלים יוכלו לפתוח או להתקין נוזקות כרייה או תוכנות זדוניות אחרות על המכשירים המחוברים לרשת החברה.
4. השתמשו בכלי שליטה לאפליקציות שמקטינים את כמות התוכנות שמורשות לרוץ על המחשב למינימום, מה שימנע את התקנתן של נוזקות כרייה.
5. יישמו מדיניות עדכוני מוצרים ותוכנות טובה כדי להוריד משמעותית את הסיכוי שהארגון ייפגע כתוצאה מפריצה ידועה. רבות מנוזקות הכרייה המתקדמות משתמשות בפרצות ידועות, כמו EternalBlue עבור ההפצה ההתחלתית שלהן.
6. ניטור מערכות החברה. שימוש גבוה בחשמל או שינויים בצריכת משאבים במערכות החברה, אשר עלולים להצביע על פעילות כריית מטבעות דיגיטליים.
7. סינון אתרים לעובדי החברה. צור רשימת חסימות של אתרים שאינם נחוצים או מתאימים לעבודה (למשל טורנטים או שירותי סטרימינג בחינם, תכנים למבוגרים).
אחרון חביב, מודעות עובדים חשובה – לפעמים הגורם האנושי הוא הנקודה הפגיעה ביותר, אבל על ידי העלאת המודעות, תוכלו להפוך את העובדים שלכם לחומת ההגנה של החברה שלכם.