Kryptowährungsviren sind keine Seltenheit mehr. Die Hauptaufgabe, die sie ausführen, ist das Cryptocurrency Mining auf Benutzergeräten. Einige infizieren die PCs selbst, andere - die Seiten der besuchten und nicht sehr Websites. Eines der effektivsten Botnetze ist sozusagen
Smominru . Er half seinen Besitzern, mehr als 3,6 Millionen Dollar in Dollar zu verdienen. Es ist klar, dass die Kryptowährung nicht in Fiat abgebaut wird, sondern in Monero, einer anonymen Kryptowährung, die immer beliebter wird.
Für den Zeitraum, für den die Angreifer eine so große Menge erhalten haben, sprechen wir von 9 bis 10 Monaten. Alles begann im Mai 2017, als Smominru begann, sich aktiv zu verbreiten. Seitdem hat er mehr als 526.000 Autos infiziert.
„Bitcoin ist aus Sicht des Bergbaus zu einer nicht sehr profitablen Kryptowährung geworden. Die Hauptkapazitäten des Bergbaus konzentrieren sich auf Bergbaubetriebe. Infolgedessen hat das Interesse der Cyberkriminellen an Monero um ein Vielfaches zugenommen “, sagte einer der Netzwerksicherheitsforscher mit dem Spitznamen Kafeine. Sein Beitrag wird auf der Website eines auf Netzwerksicherheit spezialisierten Unternehmens
namens Proofpoint veröffentlicht.
„Natürlich kann Monero auf Heim-PCs nicht in großen Mengen abgebaut werden. Aber verteilte Botnets wie Smominru sind dazu durchaus in der Lage “, fährt der Forscher fort. Neben dem angegebenen Botnetz gibt es auch Adylkuzz und Zealot. Alle haben eines gemeinsam - den Code, der in den Eingeweiden der NDA entwickelt und vor anderthalb Jahren von der Hacker-Gruppe Shadow Brokers erstellt wurde. Bisher ist dieser Code relevant und ermöglicht es Angreifern, IoT-Systeme und PCs zu knacken und andere Aktionen auszuführen.
Smominru verwendet Exploits, um Computer zu infizieren,
darunter EternalBlue . Der Virus arbeitet damit, um sich innerhalb des infizierten Netzwerks von Computer zu Computer zu verbreiten. Darüber hinaus wird diese Sicherheitsanfälligkeit auf Computern verwendet, auf denen andere Hacking-Methoden nicht funktionieren. Diese Sicherheitsanfälligkeit funktioniert natürlich nur auf Systemen ohne installierten Patch. Smominru verwendet auch die Windows-Verwaltungsoberfläche.
Ein Botnetz selbst ist harmlos, wie oben erwähnt. Wenn es jedoch ein Netzwerk von Unternehmen infiziert, erleiden Unternehmen Verluste. Das Problem ist, dass Mining ein ressourcenintensiver Prozess ist, bei dem freie Ressourcen von Maschinen entfernt werden. Infolgedessen verlangsamen sich viele Arbeitsvorgänge entweder oder hören ganz auf. Das Problem ist auch, dass während des Bergbaus Strom verbraucht wird, und dies ist ein direkter Verlust für Unternehmen. Arbeitskosten, aber Energie wird verbraucht.
Das Botnetz arbeitet mit dem Monero MineXMR-Mining-Pool. Jetzt versuchen Netzwerksicherheitsexperten, das Botnetz und die Netzwerke, mit denen es verbunden ist, zu eliminieren.
Andere Bergbau-Botnetze wie WannaMine sind jetzt ebenfalls in Betrieb. Alle von ihnen sind einander ähnlich und nutzen fast die gleichen Schwachstellen aus. Sie sind gefährlich, da sie ohne Herunterladen von Dateien funktionieren. Außerdem verwenden sie „legitime“ Software wie WMI und PowerShell, wodurch Mining-Viren schwer zu erkennen sind. Um sie vollständig zu blockieren, werden wahrscheinlich neue Arten von Virenschutzprogrammen benötigt, die während des Betriebs die Eigenschaften dieser Malware berücksichtigen.
Mining wird nicht nur von Kryptoviren verwendet, sondern auch von verschiedenen Arten beliebter Ressourcen. Beispielsweise
fügt der Torrent-Tracker von Pirate Bay seinen Seiten
regelmäßig ein Crypto Miner-Skript
hinzu . Dies wurde erstmals am 17. September bekannt. Zu diesem Zeitpunkt testete die Ressource den Bergmann zunächst als Alternative zu Werbebannern auf der Website. Niemand hat die Ressource gehackt. Die Verwaltung des Trackers hat beschlossen, zusätzliche Mittel für die Wartung des Trackers zu beschaffen. Dies geschah zwar ohne Vorwarnung, niemand bat die Benutzer um ihre Zustimmung.
Der Miner wurde gefunden, weil der Computer, auf dem die Seite mit dem speziellen Skript geladen wurde, langsamer zu arbeiten begann. Anschließend installierte die Verwaltung des Trackers den Code mit den neuen Einstellungen, wodurch die Client-Systeme wesentlich weniger belastet wurden, sodass Benutzer nichts ahnen können.
Der Kampf gegen Crypto Miner wird von vielen Netzwerkorganisationen durchgeführt. Einer von ihnen ist der Cloudflare CDN-Anbieter. Zuvor hat dieses Unternehmen das Konto eines anderen Torrent-Trackers eingefroren, und zwar aus demselben Grund - der Arbeit mit Crypto Miner. Mit der Zeit werden sich Kryptoviren höchstwahrscheinlich weiter ausbreiten und es wird schwieriger sein, sie zu erkennen.