Jak hackeři reagují na klesající hodnotu kryptoměn

Jednou z nejčastěji skloňovaných technologií roku 2018 se bezpochyby staly kryptoměny. Zájem o ně se výrazně zvýšil už na konci roku 2017, kdy jejich hodnoty dosahovaly svého vrcholu. To samozřejmě neuniklo kyberzločincům, kteří k nim také obrátili svoji pozornost. Během roku 2018 se pro ně těžba kryptoměn ze zařízení napadených uživatelů stala klíčovým zdrojem příjmů a nahrazovala jiné typy útoků, například prostřednictvím vyděračského softwaru. Hodnota kryptoměn v uplynulém roce postupně klesala. Vyvstala tedy otázka, zda opadne i zájem útočníků. Bezpečnostní tým Cisco Talos zjistil, že i přes pokles hodnoty patří těžba kryptoměn na cizích zařízení k nejvýnosnějším aktivitám hackerů. Mění se ale techniky.

Během roku 2018 vydal bezpečnostní tým Cisco Talos několik varování před škodlivými softwary, které využívají výkon zařízení uživatelů k těžbě kryptoměn. Na jeho začátku Cisco Talos vypočítal, že při těžbě kryptoměny Monero dokáže útočník z jednoho počítače získat denně asi 25 amerických centů (cca 5,20 českých korun). Na konci roku už ale ze stejného počítače mohl získat maximálně 4 centy (cca 80 haléřů). Přesto zájem útočníků o kryptoměny neupadl.

„Motivace útočníků je jednoduchá. Těžba kryptoměn jim umožňuje vytvořit model generující trvalý zisk, přičemž skrytý útok neupoutá příliš pozornosti, protože běží na pozadí fungujícího, byť zpomaleného zařízení. U vyděračského softwaru byla návratnost vždy tak trochu sázkou do loterie a navíc mohl být útočník vystopován. Uživatelům zpravidla může takový útočník svou aktivitou maximálně výrazně zpomalovat počítač. V případě velké firmy se však může jednat již o docela velké ztráty způsobené nejenom pomalejšími zařízeními, ale zároveň i vyššími účty za elektřinu. Ve firmách se vyskytují také případy napadení nechráněné infrastruktury v cloudu způsobující ztráty v podobě navýšených plateb za cloudové zdroje. Taková ztráta z jednoho útoku může dosáhnout řádu desítek až stovek tisíc korun,“ vysvětluje Petr Černohorský, bezpečnostní expert společnosti Cisco.

Rozmach těžby kryptoměn pronikl téměř do všech technik, které útočníci využívají, ať už se jedná o kampaně zaměřené na rozesílání spamu, útoky skrze webové prohlížeče nebo cílené proniknutí do počítačů či sítě.

Spamové kampaně a experimenty s těžbou

Charakter spamových kampaní zpravidla dobře vypovídá o tom, na jaké aktivity se kyberzločinci zaměřují. Jejich zisky generují sítě počítačů, které rozesílají spamy do celého světa (tzv. botnety). Během roku 2018 byl ale objem spamu podprůměrný (kromě dvou kampaní na jeho začátku). Objevily se spekulace, že největší botnet Necurs experimentuje s kampaněmi zaměřenými právě na těžbu kryptoměn a to v tom smyslu, že na některých napadených strojích, které by jinak rozesílaly spam, probíhala právě těžba kryptoměn. Obecně se kampaně zaměřené na těžbu kryptoměn na začátku roku 2018 objevovaly velmi často, se snižováním hodnoty kryptoměn se ale útočníci částečně přeorientovali na jiné oblasti zisku. Aktuálně se spamem více doručují škodlivé softwary typu RAT (Remote Access Trojan), útoky umožňující vzdálenou kontrolu napadeného zařízení, či Emotet a další formy tzv. modulárního malwaru, který se v systému spouští postupně.

Spustíte web, těžíte do cizí peněženky

Každý běžný uživatel ví, že by neměl klikat na podezřelé odkazy, přesto právě útoky přes internetový prohlížeč patří k nejčastějším. V minulých letech tímto způsobem mnoho uživatelů infikovalo svá zařízení vyděračským softwarem (ransomwarem), v roce 2018 se tak často šířil software, kterým útočníci těží kryptoměny. Maskování jsou různá, uživatel může být nalákán na falešnou reklamu či podvodnou žádost o aktualizaci programu Adobe Flash Player. Mnoho typů softwaru těžící kryptoměny (například CoinHive) také používá skripty, které běží na pozadí otevřené stránky. A tak zatímco si uživatel prohlíží webovou stránku, na pozadí těží někdo jiný kryptoměny. Takový způsob výdělku se stal tak rozšířeným, že někteří vývojáři aplikací dokonce žádali uživatele, aby povolili jejich aplikacím těžit kryptoměny a tím za vývoj zaplatili jinak než penězi. „I když hodnota kryptoměn klesá, útočníci se pochopitelně řídí heslem: nějaké peníze jsou lepší než žádné. A pokud se jim naskytne příležitost jakkoliv si vydělat, určitě ji využijí a těžba kryptoměn skrze webový prohlížeč bude stále součástí každodenního internetového života,“ popisuje Petr Černohorský.

Cílené útoky i na servery firem

U těžby kryptoměn platí jedno důležité pravidlo. Výnosy z jednoho zařízení jsou přímo úměrné jeho výkonu. Bezpečnostní tým Cisco Talos monitoroval několik případů, kdy cílené útoky byly využívány pro těžbu a zneužívaly známé zranitelnosti. A nejde jen o běžné počítače, zajímavým cílem jsou pro útočníky například firemní servery, protože zvyšují potenciální zisky. V některých případech útočníci přidávají do škodlivého softwaru funkce, kterými se vyznačuje typ „červ“. To znamená, že se škodlivý software umí sám rozšiřovat i do dalších zařízení bez nutnosti cizího zásahu.

Rok 2019? Cílem hackerů je větší flexibilita

Z analýzy bezpečnostního týmu Cisco Talos vyplývá, že pád hodnoty kryptoměn aktivitu hackerů výrazně neproměnil a v roce 2019 bude těžba stále jednou z oblastí jejich zájmu. To ale neznamená, že by pokles neměl vůbec žádný vliv. Lze pozorovat změny zaměření spamových kampaní a zvyšující se distribuci modulárních útoků. Nelze však očekávat, že by kyberútočníci na těžbu kryptoměn úplně zanevřeli, neboť jim nabízí snadný způsob, jakým skrytě a dlouhodobě profitovat. Otázkou zůstává, kam se můžou útoky dále vyvíjet? „Útočníci budou chtít být flexibilní. Pravděpodobně se dočkáme útoků, jejichž podoba se bude odvíjet mnohem více od typu napadeného zařízení. Zatímco vybavené herní zařízení či špičkový server se může stát výhodným cílem pro těžbu kryptoměn, manažerský laptop může být výhodnější pro přeprodej přístupu pro další fázi cíleného útoku, nebo pro šíření vyděračského softwaru,“ uzavírá Petr Černohorský.