Hlavní navigace

Firemní počítače ohrožuje skryté dobývání kryptoměn. Jak ho odhalit?

Zdeněk Vesecký

Firmy musí začít počítat s novými hrozbami spojenými s kryptoměnami. Bude jejich nelegální získávání konkurovat ransomwaru coby největší hrozba?

Doba čtení: 7 minut

Fascinující kryptoměny a jejich strmě rostoucí hodnoty jsou velkým lákadlem pro kyberzločince. Ohrožení ale nemusí přijít zvenku. Pozor si dejte i na zaměstnance.

V posledních dnech a týdnech se v agenturním zpravodajství objevují znepokojující informace o tom, že Česko zaplavil škodlivý program využívající počítače k těžbě kryptoměn. Jedná se ale o celosvětový problém. Kryptoměny se podle některých statistik mají tajně těžit na více než 500 milionech počítačů. A ne vždy za tím musí stát hackeři ze Severní Koreje. Jaká nebezpečí bychom proto měli začít vnímat?

  • Objeví se nové cílené útoky na firmy, jejichž prostřednictvím kyberzločinci do firemních systémů nainstalují automatizované minery kryptoměn. Po nějaké době se pro ně tato strategie může stát výnosnější než současné útoky ransomwaru.
  • Výraznější roli v získávání kryptoměn bude hrát vlastní člověk. Zaměstnanci vládních organizací nebo výrobních společností k tomu budou využívat veřejné nebo firemní počítače. Bez nutnosti platit za elektřinu a díky jejich stabilnímu výkonu tak budou kryptoměnu získávat v podstatě zadarmo.
  • Web-mining umožní nové možnosti monetizace webových stránek. Bude tak možné například místo předplaceného obsahu spustit mining skript v uživatelově prohlížeči.

Počítač může vlivem miningu vyhořet

Podvodné aktivity získaly prostřednictvím virtuálních měn nové a netušené možnosti své monetizace. Kyberzločinci je v loňském roce nejčastěji využívali pro platby za opětovné zpřístupnění zašifrovaných souborů pomocí ransomwaru. Tento trend bude i nadále pokračovat, ale objevují se i nové, mezi něž spadá skryté získávání cenných kryptoměn, takzvaný mining, říká Alexey Malanov, malwarový odborník ve společnosti Kaspersky Lab. Tohoto trendu se podle něj navíc chopí i obyčejní lidé, kteří budou chtít virtuální měny získávat na veřejně dostupných nebo firemních počítačích. Skrytými minery se pak budou snažit počítače infikovat i další útočníci. Díky minerům totiž získají velmi lukrativní zdroj příjmů, který se postaví bok po boku ransomwaru.

Těžba kryptoměn má hned několik rizik. Prvním je výrazné zpomalení výkonu počítače. Dobývání kryptoměn totiž každé zařízení výrazně zatěžuje a v průběhu těžby může docházet pouze k této aktivitě. Útočníci využívají k ilegální těžbě ve velké míře skripty na webu, kdy uživatel po dobu návštěvy infikované stránky těží na svém zařízení kryptoměnu pro útočníka. Dokonce se objevily i pokusy otevřít skryté okno prohlížeče, aby mohla těžba pokračovat i po opuštění napadených stránek. Skrytá těžba kryptoměn je v současnosti velmi oblíbenou hrozbou. 6 % všech útoků, které loni naše produkty zablokovaly, byly takzvané minery. A letos očekáváme další nárůst, dodává Alexey Malanov.

Dále si přečtěte: Jak se mají danit bitcoiny? Podle úřadů jde o movitou věc

Že na počítači dochází k těžbě kryptoměny, se dá obvykle zjistit ve správci úloh. Existují ale i malwarové techniky, které to znemožňují. Například přeruší dobývání kryptoměn v okamžiku, kdy uživatel správce úloh otevře. Na probíhající těžbu se ale dá přijít i jinak. Upozorní na ni samotný počítač, který bude hučet, i když v podstatě nic nedělá. Podezření bychom měli mít, pokud je vytížení procesoru nebo grafické karty dlouhodobě vysoké, aniž by k tomu byl nějaký důvod. Je však nutné podotknout, že vzhledem k náročnosti těžby je většina rozšířených kryptoměn až na výjimky netěžitelná na procesoru a v případě, že se k těžbě používá grafická karta, je potřeba, aby patřila k těm výkonnějším, což už v běžných kancelářských počítačích nenajdeme, říká Michal Salát, expert na kybernetickou bezpečnost společnosti Avast.

Rizikem zejména v případě zmíněných grafických karet je poškození hardwaru. Pokud nemá počítač dostatečné chlazení pro dlouhodobý běh na maximální výkon, k čemuž právě při těžbě kryptoměny dochází, je možné kartu a potenciálně i celý počítač nenávratně poškodit. To platí i při těžbě na mobilních telefonech, kdy vysoké využití výpočetního výkonu může vést k přehřívání telefonu a jeho poškození. Kvůli vyššímu výkonu počítače samozřejmě také narůstají výdaje za elektřinu. Problém je, že většina zasažených firem ani netuší, že jsou jejich zařízení využívána pro dobývání kryptoměn. Zaměstnanci skrytě instalují minery daleko častěji než hackeři. Existuje jen málo známých případů, kdy kyberzločinci nainstalovali místo ransomwaru software pro dobývání kryptoměn. Ransomware totiž útočníkům umožňuje získat velké množství peněz v krátkém čase, zatímco minery jim generují malé, ale stabilní příjmy, upozorňuje na vnitřní nebezpečí Alexey Malanov.

Psali jsme: Bitcoiny zvyšují atraktivitu, platí s nimi ale jen málokdo

Neignorujte zpomalení výkonu počítačů

V případě, že nejsou nainstalovány spolu s dalším malwarem, minery kryptoměn samy o sobě neničí žádná data a jejich přítomnost zpravidla “pouze” zpomalí zařízení a zvýší jeho spotřebu. Minery v prohlížečích jsou navíc omezeny dobou pobytu na nakažené stránce. Nepředstavují tedy takové riziko jako ransomware. Ten data buď zničí, nebo zašifruje a často je bez zaplacení výpalného nemožné se dostat k datům a z tohoto důvodu je dopad na poškozeného uživatele vyšší. Přesto je nutné upozornit na to, že všechny infekce, které firemní sítě postihnou, jsou stejně závažné. Dochází při nich totiž k neoprávněnému proniknutí zločince do interní infrastruktury. Vlastní škody jsou až druhotným problémem.

Obecně se dá říci, že pokud je počítač napaden malwarem, je téměř reálná jakákoliv hrozba. Od využití počítače k šíření spamu až po ransomwarový útok. V souvislosti s kryptoměnami je také potřeba zmínit snahy útočníků najít na zařízení peněženku s kryptoměnami. Hodně používané peněženky se dají vcelku snadno dohledat, a pokud nejsou chráněny heslem, je snadné uložené peníze ukrást. Další hrozbou, která se v minulosti vyskytla, je případ, kdy malware instalovaný na počítači monitoruje schránku, a pokud v ní objeví adresu nějaké kryptoměny, přepíše ji nějakou svou vlastní. Pokud pak člověk použije tuto adresu pro odeslání peněz, pošle je útočníkovi místo původně zamýšlenému adresátovi, uvádí Michal Salát z Avastu.

Bude se vám hodit: Najměte si do firmy hackera. Otestuje vám zabezpečení IT

Jak se miningu bránit

Kryptoměny jsou fenoménem poslední doby a legislativa s nimi ještě víceméně nepočítá. Nacházíme se ve stavu, kdy je těžba kryptoměn prakticky všude na světě legální a neporušuje se jí žádný zákon. Maximálně může dojít k porušení interních předpisů zaměstnavatele, který může těžbu kvůli výše zmíněným rizikům zakázat, uvádí Pavol Lupták, etický hacker a majitel společnosti Nethemba. 

Správci mohou ve svých sítích blokovat komunikaci s takzvanými mining pooly, tedy servery sdružující více uživatelů k dosažení většího výpočetního výkonu. Tím pádem nainstalovaný miner nezíská žádnou práci a tedy těžit nebude. Je ale na každém zaměstnavateli, jak se k ochraně svých zařízení postaví. V případě firem nebo vládních organizací je velmi důležité identifikovat ty zaměstnance, kteří za skrytou těžbou kryptoměn stojí. Není výjimkou, že je tímto viníkem sám administrátor odpovědný za IT bezpečnost, komentuje malwarový odborník Kaspersky Lab Alexey Malanov a Michal Salát z Avastu dodává: Našli jsme těžební skripty například už i na webových stránkách jedné z českých univerzit. Bohužel takový útok ukazuje na další chyby v zabezpečení napadených webů, kdy útočník musel mít možnost na ně nahrát a měnit soubory.

Základem prevence je mít nainstalované účinné bezpečnostní řešení v podobě antiviru a antimalwaru, pravidelně aktualizovat operační systémy a aplikace, ověřit aktuálnost CMS systémů (Joomla, Wordpres) a jejich pluginů, používat silná hesla a dvoufaktorovou autentizaci. Některé prohlížeče navíc obsahují ochranu proti těžícím skriptům. Pokud to není nezbytně nutné, je možné zakázat webovému serveru zápis do složek s webovou prezentací.

Připomeňte si: Levná a účinná ochrana firemního IT. Víme jak na to v sedmi krocích

FIN18_tip_v_clanku_Brendl

Žádnou hrozbu není dobré podceňovat. Přesto situace až tak dramatická být nemusí. Těžit kryptoměny na firemních počítačích je extrémně těžké a málo rentabilní, proto se na těžbu bitcoinů používá specializovaný hardware – ASIC minery, případně velmi rychlé grafické karty GPU. Běžná IT firma ale minimálně ASIC minery obvykle nedisponuje a těžič si je musí sám zakoupit. Grafické karty na těžbu kryptoměn jsou v porovnání s běžnými grafickými kartami také relativně drahé. V tomto případě jimi ale specializovaná grafická studia disponovat mohou. Proto si myslím, že zneužívání firemních počítačů pro těžbu zaměstnanci je málo pravděpodobné. Podstatně pravděpodobnější je nedovolené využívání elektrického proudu pro těžbu na vlastním těžícím hardwaru v podobě ASIC a GPU, domnívá se Pavol Lupták.

Infekce nedovolených krypto minerů ve firmách zatím ve společnosti Nethemba neřešili. Tyto počítače, pokud jich nejsou infikovány stovky či tisíce, nemají pro útočníka až takovou přidanou hodnotu, protože těžba na CPU/procesoru je dost nerentabilní. A většina těchto počítačů nemá připojené ani ASIC minery, ani výkonné grafické karty. V situaci, kdy jsou plošně infikovány tisíce počítačů, už ale mining může mít smysl.