Din cauza campaniilor masive de atac prin ransomware, din ce in ce mai multe companii si institutii de stat implementeaza masuri de securitate care sa le protejeze de acest tip de virus. Agentiile guvernamentale monitorizeaza in mod constant Internetul pentru a identifica de unde este lansat atacul si care sunt autorii sai. Scopul atacatorilor este aproape intotdeauna unul financiar. Pentru ca una dintre cele mai consistente surse de venit (rascumpararea platita de victima unui ransomware) este in pericol de scadere, atacatorii se orienteaza spre alte tipuri de activitati care sa le suplineasca profitul, cum ar fi cryptomonedele.
Popularitatea cryptomonedelor face ca aceasta tehnologie sa fie exploatata de atacatori. Pe langa valoarea imensa pe care o au, cryptomonedele sunt atractive pentru ca ofera posibilitatea unei persoane de a ramane anonima in tranzactiile financiare.
Malitios … sau poate nu
Minarea cryptomonedelor, modul prin care sunt obtinute monedele virtuale, nu este propriu-zis o activitate malitoasa. Software-ul folosit la cryptomining nu cade “direct” in categoria de malware. Diferenta este facuta de intentie. Daca o organizatie sau un individ nu mineaza in mod explicit cryptomonede, atunci aceasta activitate trebuie clasificata ca fiind malitioasa.
Prezenta unui software de cryptomining intr-o retea este un semn de vulnerabilitate. Vectorul de atac prin care acel program a intrat in retea poate fi folosit si de alt tip de malware pentru a compromite un sistem. Minarea presupune prelucrarea unor algoritmi matematici foarte complecsi care, pentru a fi rezolvati, necesita resurse computationale semnificative. Sistemele care se “misca” greu pot fi in slujba unui atacator. Problemele pe care un software de minare le poate genera sunt:
- unele institutii trebuie sa respecte anumite standarde de reglemantare, iar minarea de monede de catre angajati fie intentionata, fie nu poate avea consecinte grave
- ingreunarea sistemului (server, PC, chiar si smartphone) din cauza folosirii procesorului la capacitate maxima pana la degradarea severa a serviciului oferit sau chiar indisponibilizare a acestuia
- o factura la curent foarte mare, din cauza folosirii intensive a resurselor computationale (CPU, GPU) mai ales in mediile de data center
- semn de vulnerabilitate a infrastructurii informatice (si alte atacuri pot exploata acelasi vector de intrare)
Atacatorii profita de toate metodele si tehnicile pe care le au la dispozitie pentru a instala software de cryptomining in retele:
- mesaje email cu atasament malitioase
- servere web compromise care pot injecta cod pe sistemele clientilor profitand de vulnerabilitati in plugin-urile din browser
- site-uri care contin cod JavaScript folosit pentru a mina direct din browser-ul clientului
- exploatarea anumitor vulnerabilitati pentru a livra payload-uri malitioase
- livrarea cryptomalware-ului folosind un server de C2C si un canal de comunicare criptat pentru camuflare
Cryptomining-ul poate fi privit ca un parazit care prospera cat timp gazda sa ramane nestiutoare si sanatoasa. Cryptominerii profita de pe urma functionarii corecte a retelei victimelor si vor sa foloseasca in scop propriu cat mai multe sisteme pentru cat mai mult timp. Nu este in interesul atacatorilor sa provoaca distrugeri precum cele cauzate de un ransomware. Victimele nu vor experimenta simptome de downtime sau de pierderi de date, ci vor vedea o degradare a performantei si un consum mai ridicat de energie decat in mod obisnuit.
Protectie impotriva minarii
Primul nivel de protectie poate fi implementat la nivel de DNS. Cisco Umbrella “vede” peste 500 de miliarde de request-uri in fiecare zi. O astfel de vizibilitate inseamna ca Cisco poate identifica domeniile si adresele IP malitioase si considerate ca puncte de lansare a cryptomalware-ului. Umbrella poate bloca categorii de trafic la nivel de DNS, eliminand riscul ca cryptomalware-ul sa aiba acces la infrastructura de minare. Un alt avantaj al solutiei cloud based de DNS este faptul ca Umbrella “vede” si domeniile noi, folosite de atacatori de obicei in campaniile masive de cryptomining si poate refuza conexiuni catre aceste servere din Internet. Campaniile se bazeaza pe infrastructuri de botnet-uri si servere de C2C pentru a livra payload-ul malitos.
Solutiile la nivel de endpoint pot complementa protectia oferita de Cisco Umbrella. Software-ul de cryptomining trebuie sa ajunga pe un host pentru a folosi resursele acestuia. Monitorizarea si analizarea continua a fisierelor si a proceselor de pe sistem ajuta la detectarea si blocarea minarii. Conexiunile initate de software-ul de cryptomining catre serverele de C2C pot fi si ele blocate.
Reteaua in sine poate fi folosita ca un senzor pentru a identifica conexiunile cu servere care gazduiesc sau distribuie cryptomalware, inclusiv in traficul criptat. Prin mecanisme ca deep packet inspection, detectia anomaliilor, devieri de la baseline-ul normal si analizarea flow-urilor de trafic se pot detecta payload-urile malitioase ascunse in atasamente de email sau in soft-uri download-ate de pe Internet sau conexiunile catre serverele de C2C.
Solutiile de sandboxing si de analiza a fisierelor malware pot ajuta inginerii de securitate sa inteleaga modul de propagare a malware-ului, procesele, fisierele si locatiile accesate de pe sistem. Astfel, se pot construi reguli si semnaturi prin care sa se faca detectia fisierelor malitioase.
Cea mai buna protectie este oferita atunci cand aceste solutii sunt folosite impreuna si nu separat. Organizatia trebuie sa securizeze punctele de intrare in retea, ca si dispozitivele utilizatorilor. Utilizatorii trebuie sa beneficieze de protectie atat timp cat sunt conectati la retea din interiorul ei, dar si atunci cand sunt conectati remote. Portofoliul de securitate de la Cisco ofera companiei protectia necesara pentru a elimina riscurile cauzate de cryptomining-ul nedorit.
Mihai Dumitrascu, Sr Systems Engineer
