Форумы дарквеба наводнили предложения дешевого софта для майнинга

Форумы дарквеба наводнили предложения дешевого софта для майнинга

Форумы дарквеба наводнили предложения дешевого софта для майнинга

Group-IB фиксирует новые вспышки угрозы нелегитимного майнинга (криптоджекинга) в сетях коммерческих и государственных организаций. По данным системы Group-IB Threat Intelligence, за год количество объявлений на теневых форумах, в которых предлагаются программы для майнинга на продажу или в аренду, увеличилось в 5 раз (H1 2018 против H1 2017).

Опасной тенденцией эксперты Group-IB называют широкую доступность троянов-майнеров, предназначенных для использования чужих устройств и инфраструктуры в целях нелегитимной генерации различных типов криптовалюты.

Криптоджекинг (использование вычислительной мощности компьютера или инфраструктуры для майнинга криптовалюты без согласия или ведома владельца) по-прежнему остается сравнительно популярным методом обогащения, несмотря на плавную тенденцию к уменьшению числа инцидентов, связанных с этим видом мошенничества. За первое полугодие 2018 года система Threat Intelligence (Киберразведка) Group-IB зафиксировала 477 объявлений на хакерских форумах о продаже или аренде программ для майнинга, в то время как за аналогичный период 2017 года их количество было в пять раз меньше - 99.

Потенциальными точками роста для подобных хищений могут стать не только рост предложений по приобретению программ-майнеров на форумах Darknet, но и сравнительно низкая цена на них — минимальная цена на программы для скрытого майнинга составила 0,5$, в среднем стоимость — $10.

«Низкий «порог входа» на рынок «черного заработка» на нелегальном майнинге приводит к тому, что добычей криптовалюты занимаются люди без технических знаний и какого-либо опыта участия в мошеннических схемах, — комментирует Рустам Миркасымов, эксперт по киберразведке компании Group-IB. — Получив доступ к простым инструментам для скрытого майнинга криптовалют, они не считают это преступлением, тем более что российское законодательное поле пока еще оставляет достаточно количество лазеек для того, чтобы избежать преследования за подобные хищения. Случаев ареста и практики судебного преследования за криптоджекинг по-прежнему единицы, не смотря на то, что большинство методов установки программы-майнера предполагают нарушение законов 272 и 273 УК РФ».

Любое устройство (компьютер, смартфон, IoT, сервер и тд.) может быть использовано для криптоджекинга: именно поэтому установки систем детектирования на уровне рабочих станций недостаточно. Новые виды программ для майнинга, которые легко обходят системы безопасности, основанные только на сигнатурном подходе, появляются постоянно. Симметричным ответом этой угрозе стало детектирование разных проявлений майнинга на сетевом уровне. Для этого необходимо использовать, в том числе, технологии поведенческого анализа для выявления ранее неизвестных программ и инструментов.

Эксперты Group-IB предупреждают о том, что майнинг несет не только прямые финансовые потери вследствие повышенных затрат на электричество. Это также угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств.  Заражение инфраструктуры трояном-майнером может привести к отказу корпоративных приложений, сетей и систем. Несанкционированная работа сторонних программ без ведома владельцев бизнеса чревата репутационными потерями, а также рисками со стороны комплаенса и регуляторов.

Для комплексного противодействия криптоджекингу важно выявлять все формы вредоносного кода, распространяющегося или уже работающего в сети, на основе регулярно обновляемой базы угроз систем класса Threat Intelligence. Анализ подозрительной активности всегда должен производиться в безопасной изолированной среде, при этом обеспечивая полную конфиденциальность данных о зараженных машинах, сегментах инфраструктуры и других ресурсах.

Важно защищаться не только внутри своей сети, но и выявлять инструменты криптомайнинга, запускающие java-скрипт на взломанных ресурсах, целью которых является заражение как можно большего количества жертв. Есть и еще один, в последнее время набирающий популярность тип мошенничества: это классический инсайдер. Компании должны иметь возможность защищаться в том числе и от собственных недобросовестных сотрудников, решивших умножить свой доход за счет ресурсов работодателя.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru