Jest to najnowszy incydent wpisujący się w niepokojący trend coraz częstszego wykorzystywania kryptokoparek w atakach ukierunkowanych w celu uzyskania korzyści finansowych. W miarę przybierania na sile tego trendu zagrożone staną się przedsiębiorstwa, ponieważ szkodliwe koparki sabotują i spowalniają ich sieci komputerowe, szkodząc ogólnym procesom biznesowym i wzbogacając się ich kosztem.
Kryptokoparki stanowią obecnie gorący temat w branży cyberbezpieczeństwa. To wyspecjalizowane oprogramowanie do kopania kryptowaluty generuje nowe monety poprzez wykorzystywanie mocy obliczeniowej komputerów oraz urządzeń mobilnych ofiar. Szkodliwe koparki robią to kosztem użytkowników, wykorzystując bez ich wiedzy moc obliczeniową zaatakowanych urządzeń. Zagrożenie to znacząco wzrosło w ostatnich czasach, wyprzedzając oprogramowanie ransomware jako główny typ szkodliwego oprogramowania, jak wykazało poprzednie badanie Kaspersky Lab. Jednak pojawienie się kryptokoparki PowerGhost sprawia, że trend ten zyskuje nowy wymiar. Pokazuje, że twórcy szkodliwych narzędzi zaczynają stosować ataki ukierunkowane, aby móc zarabiać więcej pieniędzy — tak jak przewidywali wcześniej badacze z Kaspersky Lab.
PowerGhost jest rozprzestrzeniany w sieciach korporacyjnych poprzez infekcję zarówno stacji roboczych, jak i serwerów. Jak dotąd ofiarami tego ataku byli w większości użytkownicy korporacyjni w Brazylii, Kolumbii, Indiach oraz Turcji. PowerGhost stosuje wiele różnych technik bezplikowych w celu dyskretnego zagnieżdżenia się w sieciach korporacyjnych, co oznacza, że kryptokoparka nie przechowuje swoich zasobów bezpośrednio na dysku, komplikując wykrywanie i neutralizowanie zagrożenia.
Infekcja maszyny odbywa się zdalnie za pośrednictwem exploitów (szkodników wykorzystujących luki w zabezpieczeniach systemu i aplikacji) lub narzędzi zdalnej administracji. W momencie zainfekowania maszyny główny kod kryptokoparki zostaje pobrany i uruchomiony, jednak na dysku twardym nie pozostają żadne ślady ataku. Następnie cyberprzestępcy mogą sprawić, że kryptokoparka będzie się automatycznie aktualizowała, rozprzestrzeniała w sieci i uruchamiała procesy kopania kryptowaluty.
Ataki PowerGhost przeprowadzane na firmy w celu instalowania kryptokoparek wzbudzają nowe obawy związane z oprogramowaniem do wydobywania kryptowaluty. Zbadane przez nas oprogramowanie pokazuje, że atakowanie użytkowników indywidualnych stało się niewystarczające – uwagę cyberprzestępców zwróciły teraz również przedsiębiorstwa. W efekcie kopanie kryptowaluty stało się zagrożeniem dla środowiska biznesowego – powiedział Vladas Bulavas, analityk szkodliwego oprogramowania, Kaspersky Lab.
Produkty Kaspersky Lab wykrywają omawiane zagrożenia z następującymi werdyktami:
- PDM:Trojan.Win32.Generic,
- PDM:Exploit.Win32.Generic,
- HEUR:Trojan.Win32.Generic,
- not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen.
Aby zmniejszyć ryzyko infekcji, użytkownicy powinni postępować zgodnie z następującymi zaleceniami:
- Dopilnuj, aby oprogramowanie na wszystkich wykorzystywanych przez Ciebie urządzeniach było aktualne. Aby uniemożliwić kryptokoparkom wykorzystywanie luk w zabezpieczeniach, stosuj narzędzia, które potrafią automatycznie wykrywać luki i instalować łaty.
- Nie ignoruj mniej oczywistych celów ataków, takich jak systemy zarządzania procesami, terminale obsługujące karty płatnicze (POS) czy nawet biletomaty i inne e-kioski.
- Stosuj wyspecjalizowane rozwiązanie bezpieczeństwa wyposażone w kontrolę aplikacji, wykrywanie niebezpiecznego zachowania oraz komponenty zapobiegania exploitom, które monitorują podejrzane działania aplikacji oraz blokują wykonanie szkodliwych plików. Przykładem rozwiązania zawierającego takie funkcje jest Kaspersky Endpoint Security for Business.
- W celu ochrony środowiska korporacyjnego organizuj szkolenia z cyberbezpieczeństwa dla swoich pracowników i zespołów IT, przechowuj oddzielnie wrażliwe dane i ograniczaj dostęp.
Informacje szczegółowe na temat zagrożenia PowerGhost są dostępne na stronie https://r.kaspersky.pl/MuCcl.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/nowosci.