Ботнет Smominru помог заработать злоумышленникам более $3,6 млн
Криптовалютные вирусы уже не редкость. Главная задача, которую они выполняют — майнинг криптовалюты на пользовательских устройствах. Некоторые заражают сами ПК, другие — страницы посещаемых и не очень сайтов. Один из наиболее эффективных ботнетов, если так можно выразиться — это Smominru. Он помог заработать своим владельцам более $3,6 млн в долларовом эквиваленте. Понятно, что криптовалюту зловред майнит не в фиате, а в Monero — анонимной криптомонете, которая становится все более популярной.
Что касается срока, за который злоумышленники получили такую крупную сумму, то речь идет о 9–10 месяцах. Все началось с мая 2017 года, когда Smominru стал активно распространяться. С тех пор он заразил более 526 тысяч машин.
«Bitcoin стал не слишком выгодной криптовалютой с точки зрения майнинга, основные мощности по его добыче сосредоточены на майнинг-фермах. Как результат — интерес злоумышленников к Monero возрос многократно», — заявил один из исследователей по сетевой безопасности с ником Kafeine. Его пост опубликован на сайте компании, специализирующейся на сетевой безопасности, которая называется Proofpoint.
«Конечно, Monero нельзя добывать в больших количествах на домашних ПК. Но распределенные ботнеты, подобные Smominru, вполне способны на это», — продолжает исследователь. Кроме указанного ботнета, существуют еще Adylkuzz и Zealot. У всех них есть одна общая черта — код, разработанный в недрах НДА и выложенный года полтора назад хакерской группой Shadow Brokers. До сих пор этот код актуален и позволяет злоумышленникам взламывать IoT системы, персональные компьютеры и выполнять иные действия.
Для того, чтобы заразить компьютеры, Smominru использует эксплоиты.Один из них — EternalBlue. С ним вирус работает для того, чтобы распространяться от машины к машине внутри инфицированной сети. Кроме того, эта уязвимость используется на компьютерах, где не срабатывают другие способы взлома. Конечно, эта уязвимость будет работать лишь на системах без установленного патча. Smominru также использует интерфейс Windows Management.
Ботнет сам по себе безвреден, как уже говорилось выше. Но если он заражает сети компаний, то предприятия терпят убытки. Проблема в том, что майнинг — ресурсоемкий процесс, который забирает свободные ресурсы у машин. В итоге многие рабочие операции либо начинают замедляться, либо вовсе останавливаются. Проблема также в том, что при майнинге потребляется электричество, а это уже прямые убытки для компаний. Работа стоит, а энергия потребляется.
Ботнет работает с майнинг-пулом Monero MineXMR. Сейчас специалисты по сетевой безопасности стараются ликвидировать ботнет и сети, пулы с которыми он связан.
Действуют сейчас и другие майнинг-ботнеты, вроде WannaMine. Все они похожи друг на друга и эксплуатируют практически одни и те же уязвимости. Опасны они тем, что работают без загрузки каких-либо файлов, кроме того, используется «легитимное» ПО вроде WMI и PowerShell, что делает майнинг-вирусы сложными для обнаружения. Вероятно, для полного их блокирования необходимы новые типы антивирусов, которые при работе будут учитывать особенности именно таких зловредов.
Майнинг используют не только криптовирусы, но и разного рода популярные ресурсы. Например, торрент-трекер The Pirate Bay регулярно добавляет скрипт криптомайнера на свои страницы. Об этом впервые стало известно 17 сентября. Именно тогда ресурс впервые протестировал майнер в качестве альтернативы рекламным банерам на сайте. Ресурс никто не взламывал, это администрация трекера приняла решение получить немного дополнительных средств для поддержания работы трекера. Правда, сделано это было без предупреждения, у пользователей никто не спрашивал их согласия.
Майнер нашли потому, что компьютер, на котором была загружена страница со специальным скриптом, начинал медленнее работать. Потом администрация трекера установила код с новыми настройками, что обеспечило гораздо меньшую загрузку клиентских систем, так что пользователи могут ничего и не заподозрить.
Борьбу с криптомайнерами ведут многие сетевые организации. Одна из них — CDN-провайдер Cloudflare. Ранее эта компания заморозила аккаунт еще одного торрент-трекера, и как раз по той же самой причине — работа с криптомайнерами. Вероятнее всего, с течением времени криптовирусы будут распространяться все шире и обнаружить их будет сложнее.