ENGЭльмар Набигаев — руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies
Вирусов-вымогателей, шифрующих файлы на жестких дисках, Остап Бендер назвал бы топорной работой. И правда, куда изящнее действовали злоумышленники, обратившие внимание на золотую жилу майнинга и зарабатывавшие на легендарной уязвимости SMB в Windows. Они смогли попросту превратить компьютеры ничего не подозревающих владельцев в настоящие майнинговые фермы. Что самое интересное, при этом компьютеры оказались под защитой — вирусы-вымогатели, которые поразили обширные вычислительные мощности массы компаний, до нелегальных майнинговых ферм добраться не имели шанса.
Напомню, в минувшем мае троян-майнер Adylkuzz заразил десятки тысяч рабочих станций и серверов в российских банках, ТЭК, транспортной сфере и госсекторе. После взлома системы Adylkuzz с помощью штатного межсетевого экрана Windows закрывал брешь в SMB, чтобы другие зловреды не воспользовались уязвимостью (таким образом, Adylkuzz, возможно, даже помог сдержать распространение WannaCry). После этого на компьютер загружался криптомайнер. В отличие от вируса-вымогателя, блокирующего доступ к файлам, проникновение Adylkuzz идентифицировать было сложнее. Вирус не воровал деньги, хотя активно проникал в банки. Однако взломанные ПК работали на полную мощность, что часто приводило к синему экрану. Кроме того, зараженные системы сканировали и пытались взломать соседние ПК и интернет-узлы, генерируя большие объемы траффика и перегружая сетевые ресурсы.
Мы в Positive Technologies зафиксировали первую активность Adylkuzz в России в начальных числах мая. Внутри Adylkuzz находились эксплойты Eternalblue и Doublepulsar, украденные хакерами из The Shadow Brokers у группировки Equation Group.
В апреле биткоин признали платежным средством в Японии, что привлекло множество местных инвесторов и вызвало взрывной рост курса криптовалюты. Еще год назад за один биткоин давали $450, а месяц назад эта валюта стоила в 6 раз больше. Ситуация охладилась лишь в июле, когда биткоин упал с $2 700 до $2 000.
Несмотря на это, сегодня все больше хакеров хотят использовать чужие ресурсы для генерирования виртуальных денег. Весной для майнинга адаптировали программу Mirai, созданную изначально для DDoS-атак. К электронному «фермерству» привлекают даже маломощные устройства Raspberry Pi с помощью зловреда Linux.MulDrop.14. Майнер Adylkuzz добывал криптовалюту Monero, которая вообще побила все рекорды по скорости роста: за один год курс увеличился с $0,50 до $32.
Одна из причин опережающего роста Monero связана с популярностью в даркнете. Год назад один из крупнейших «рынков» в теневом интернете Alphabay стал принимать не самую популярную Monero в качестве альтернативы Bitcoin. Создатели этой криптовалюты внедряют расширенные механизмы обеспечения анонимности, что высоко ценят владельцы сервисов из разряда «хакинг как услуга». Например, в 2013 году ФБР смогло закрыть магазин «Шёлковый путь» (Silk Road), торговавший оружием и наркотиками и принимавший к оплате только биткоины. После ареста владельца ФБР изъяло около 30 тысяч биткоинов, что сделало ведомство одним из крупнейших держателей криптовалюты. В Monero помешать отследить сделку помогают алгоритм кольцевой подписи CryptoNote, техника ring confidential transactions, маскирующая объем каждого платежа, и другие приемы. Наши специалисты получили несколько ключей Monero, связанных с этой атакой. Зараженные компьютеры, работающие на один из таких кошельков, приносили хакерам $2 000 в сутки. И это была только часть ботнета…
Можно ли защитить свои мощности от криптомайнинга и не стать фермой для майнеров? Безусловно, да. Для этого организации должны жестко следить за своевременной установкой обновлений (чтобы не пропустить такой же важный патч, как MS17-010), использовать сложные пароли и проверять корректность конфигурации оборудования. Необходимо также регулярно проводить мониторинг периметра корпоративной сети, исследуя доступные из интернета интерфейсы сетевых служб. Важную роль играют и тренинги для сотрудников по повышению их осведомленности в вопросах ИБ — шифровальщики зачастую попадают во внутреннюю сеть через обычную e-mail рассылку.
