Is het einde in zicht voor cryptojacking cyberaanvallen?
Voor sommige oplichters, stiekeme cryptocurrency mijnbouw kan niet lucratief genoeg meer. De vraag is, waar gaan ze naartoe?
Een nieuw ontdekte vorm van cryptocurrency-mijnbouw malware is in staat om van de resterende zo goed verborgen dat onderzoekers onderzoeken gevonden die het had verspreid naar bijna elke computer heeft een bedrijf dat had besmet.
De naam ‘Norman’, vanwege verwijzingen in de backend van de malware, in de cryptojacker is beschreven door cybersecurity onderzoekers van Varonis.
De Monero-cryptomining campagne werd ontdekt na Varonis’ security platform gespot verdachte netwerk waarschuwingen en abnormale bestand activiteit op systemen binnen organisaties die zich had gemeld instabiele toepassingen en netwerk vertraging.
Cryptojacking malware maakt gebruik van de rekenkracht van een geïnfecteerde computer naar de mijne voor cryptocurrency – die de oorzaak kunnen zijn van het systeem te vertragen, zelfs tot het punt van onbruikbaar geworden.
De onderzoekers vonden dat verschillende varianten van cryptomining malware is geïnstalleerd op bijna elke server en workstation in ondernemingen die slachtoffer zijn, en dat sommige machines hadden zelfs besmet zijn met wachtwoorddieven – waarschijnlijk gebruikt als een middel van het toevoegen van meer machines voor de mijnbouw-botnet. Het is onbekend hoe de eerste infectie plaats vond, maar in sommige gevallen, de malware was al jaren aanwezig.
Van die varianten, het was Norman, die leidde tot de meest van belang is, als de nooit-vóór-gezien malware is wat de Varonis’ rapport beschrijft als een “high-performance mijnwerker Monero cryptocurrency”, en was in staat om te werken met een aantal van de fraude technieken om ontdekking te vermijden.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Één manier waarop dit gebeurt is door het beëindigen van de mijnbouw-proces wanneer de Windows Task Manager wordt geopend. Het is een eenvoudige truc, maar die stopt gebruikers mogelijk het spotten van een toepassing die niet mag worden uitgevoerd, wuapp.exe. Nadat de gebruiker sluit het taakbeheer, Norman hervat zijn werk.
De malware is gebouwd om zeer hardnekkig en houdt regelmatig contact met een command and control-server, die, indien nodig, kan voorzien worden van nieuwe instructies of het beëindigen van de malware, hoewel de onderzoekers er rekening mee dat tijdens de analyse, geen nieuwe opdrachten werden ontvangen.
Het is onbekend wie er achter Norman, maar de onderzoekers wijzen erop dat de malware mogelijk voortgekomen uit Frankrijk of een ander franstalig land, want er zijn verschillende reeksen in de code van de malware, die zijn geschreven in het frans.
De organisatie, die bleek te worden besmet met cryptominers heeft nu moet het reinigen van de malware, maar het kan voorkomen slachtoffer in de eerste plaats door het volgen van enkele eenvoudige beveiliging stappen.
Organisaties moeten houden operating systemen en software up-to-date door het toepassen van patches en beveiligingsupdates – veel vormen van malware profiteren van bekende kwetsbaarheden, maar als de juiste patch is toegepast, kan het voorkomen dat de kwetsbaarheden uitgebuit.
Als het gaat om cryptominers specifiek, dienen organisaties monitor CPU-activiteit op computers. Met de mijnbouw doet zijn werk door gebruik te maken van de verwerking van de macht, de organisaties moeten nemen van een merkbare verslechtering van de verwerking snelheden.
Cryptojacking werd een van de meest populaire vormen van cybercriminaliteit in 2018, maar terwijl sommige aanvallers hebben verplaatst naar andere vormen van aanvallen, het geheim van mijnbouw voor Monero en andere cryptocurrencies is nog steeds een bron van illegale inkomsten voor vele anderen.
LEES MEER OVER CYBERSECURITY
Cryptocurrency mijnbouw malware is de nummer één malware dreiging – opnieuwHoe te blokkeren cryptojacking in de Firefox-browser TechRepublicWaarom cryptojacking malware is een grotere bedreiging voor uw PC dan u zich realiseertwebsites van de Overheid gekaapt door cryptocurrency-mijnbouw malware CNETDit cryptocurrency mijnbouw malware nu schakelt de beveiliging van software om te helpen blijven onopgemerkt
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters