În urmă cu exact un an, românii descopereau cryptojacking-ul.
Revelația în masă a survenit după ce s-a aflat că site-ul unei televiziuni private își punea vizitatorii la muncă. Nu pe ei, la propriu, ci calculatoarele pe care aceștia le foloseau când se conectau la site-ul cu pricina și care erau folosite de hackeri pentru a mina după moneda virtuală Monero.

Problema a fost remediată rapid, conform oficialilor televiziunii, care au precizat că site-ul fusese injectat cu scriptul CoinHive în urma unui atac informatic.
Dar subiectul era fierbinte, așa că au apărut rapid... „continuările“:

  • O cunoscută firmă de securitate IT a anunțat la scurt timp că depistase peste 240 de site-uri românești injectate cu CoinHive și că, foarte probabil, numărul lor era mult mai mare;
  • A apărut și o analiză conform căreia România se afla pe locul nouă în topul țărilor afectate de CoinHive (reușind chiar să devanseze Federația Rusă!);
  • S-a autosesizat și Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), care a anunțat că a identificat aproximativ 150 de domenii .ro pe care era folosit CoinHive pentru a mina după Monero.

Apoi s-a lăsat liniștea.
Până prin vară, când MCSI și CERT-RO au mai tulburat puțin apele anunțând că au elaborat împreună un „pachet de măsuri“ destinat protejării instituțiilor publice și organizațiilor (1).

Și apoi, din nou, liniște...
Înșelătoare însă, pentru că amenințările de tip cryptojacking nu au scăzut. Ba dimpotrivă, au crescut exponențial – un raport al Cyber Threat Alliance dat publicității la finalul anului trecut indică o creștere cu 459% a cryptojacking-ului ilegal (2).

Dar interesul publicului larg a scăzut între timp...
Nu însă și al companiilor!

Pe undeva este explicabil dezinteresul utilizatorilor finali „casnici“ – pentru aceștia cryptojacking-ul nu are efecte nocive semnificative, hackerii nu extrag date confidențiale, nu compromit fișiere, nu blochează calculatoare și solicită recompense, doar utilizează puterea de procesare a calculatoarelor pentru minarea după Monero (3).
Identificarea problemei se poate face rapid prin accesarea Task Manager (pe Windows) sau Activity Monitor (pe macOS), iar pentru protecție preventivă se pot utiliza extensii precum MinerBlock (care folosește simultan două metode de prevenire a cryptojacking-ului: un BlackList actualizat în mod constant și o metodă de detectare a scripturilor Java folosite pentru minare) sau NoCoin, disponibile pentru Chrome și Firefox, sau se pot folosi browsere cu protecție integrată (precum Opera). Există și posibilități de blocare manuală a site-urilor „infectate“ (prin introducerea URL-urilor în extensiile de tip AdBlock sau la nivel de Host file), dar majoritatea soluțiilor antivirus și antimalware integrează acum funcționalități avansate de stopare a tentativelor de cryptojacking.

În cazul companiilor, situația diferă însă semnificativ.
În primul rând pentru că infectarea site-urilor organizațiilor prin injectarea lor cu CoinHive generează, inevitabil, prejudicii de imagine, dificil de „reperat“.
În al doilea rând, pagubele au început să fie tot mai consistente. Au apărut noi generații de atacuri de tip cryptojacking (cum este, de exemplu, RedisWannaMine) care urmăresc exploatarea serverelor de baze de date și de aplicații web. Ori, atunci când acestea sunt compromise și folosite pentru a mina rezultă scăderi drastice ale randamentului aplicațiilor și nivelurilor de disponibilitate. Ceea ce în cazul unui business care se desfășoară preponderent online se traduce direct în pierderi financiare.
Au început totodată să se înmulțească și cazurile de atacuri de cryptojacking în Cloud, iar printre victime se numără deja companii mari precum Tesla, Aviva sau Gemalto. Pierderile în astfel de situații sunt substanțiale – atunci când un hacker reușește să pună mâna pe o mașină în Cloud și să mineze după Monero, doar și pentru câteva ore, prețul plătit de păgubiți ajunge să fie de ordinul sutelor de mii de euro (4).

În astfel de situații, recomandările – oricât de detaliate ar fi – nu sunt de ajuns . Organizațiile au nevoie de măsuri concrete și de competențe în mai multe tehnologii, capitol delicat pentru multe dintre ele (5).

Dacă întâmpinați probleme în a vă seta și configura soluțiile de securitate și doriți să luați măsuri concrete de limitare a riscurilor de cryptojacking, contactați-ne.


 

1. Pachetul MCSI-CERT a fost gândit în varianta „cu de toate“ și conține: „recomandări privind adoptarea unor măsuri tehnice și procedurale pentru protejarea sistemelor, fiind vorba despre evaluarea și aplicarea actualizărilor software, utilizarea unor soluții antimalware și antivirus, utilizarea extensiilor de detectare și blocare a scripturilor malițioase, precum și efectuarea periodică a auditurilor de securitate“.
2. Există și o versiune legală de cryptojacking, prin care site-urile – cum este de exemplu cel al organizației UNICEF din Australia – solicită consimțământul vizitatorului pentru a utiliza puterea de procesare a calculatorului acestuia, ca o formă de donație.
3. De ce preferă hackerii Monero? Pentru că, spre deosebire de Bitcoin sau Ethereum, criptomoneda aceasta nu poate fi urmărită atunci când este tranzacționată. Acesta este și motivul pentru care „recompensele“ în Bitcoins obținute în urma atacului ransomware WannaCry au fost convertite imediat în Monero.
4. Resursele de procesare puse la dispoziție de furnizori sunt, teoretic, nelimitate, iar modelul Cloud este de tipul „Pay-as-you-use“, așa că la plată „the sky's the limit“...
5. Ca dovadă, Tesla, Aviva si Gemalto au devenit victimele atacurilor de cryptojacking din cauza unor greșeli de configurare a platformei Kubernetes.