В декабре 2017 года стоимость Bitcoin достигла рекордных 20 000 долларов, и интерес к криптовалютам в очередной раз возрос, невзирая на то факт, что за прошедший месяц курс успел значительно снизиться. Так, многие крупные обменники и биржи были вынуждены приостановить регистрацию новых пользователей, не справляясь с наплывом желающих, а из магазинов вновь почти полностью исчезли видеокарты, так как майнинг по-прежнему может быть весьма прибыльным занятием.
Не оставляют криптовалюты без внимания и преступники. Так, за последние месяцы количество майнинговой малвари значительно увеличилось, а также возник феномен так называемого «браузерного майнинга» (он же криптоджекинг), — посетителей сайтов вынуждают добывать криптовалюту без их ведома. Но на этой неделе стало известно, что криптовалютой теперь заинтересовались и операторы крупных ботнетов.
Satori
Специалисты Qihoo 360 Netlab обнаружили, что 8 января 2018 года на сетевом ландшафте возник новый ботнет – модификация уже известного экспертам ботнета Satori. Исследователи уверены, что новую вариацию малвари, ранее предназначавшейся исключительно для взлома IoT-устройств, создал тот же самый автор, так как код вредоносов схож.
Напомню, что оригинальный ботнет Satori был замечен в начале декабря 2017 года. Вредонос Satori, на котором и строится одноименный ботнет, являлся очередной вариацией нашумевшего IoT-вредоноса Mirai. Тогда аналитики Qihoo 360 Netlab предупреждали о 280 000 активных ботов, а также о том, что угроза использует отличную от Mirai тактику. Дело в том, что классическая версия Mirai работает как Telnet-сканер, при этом используя длинные списки логинов и паролей, подходящих для различных «умных» устройств, которые малварь брутфорсит. Но Satori имел на вооружении два эксплоита, которыми пользовался вместо брутфорса.
Теперь исследователи Qihoo 360 Netlab обнаружили модификацию Satori.Coin.Robber, которая, как можно понять из названия, предназначена для хищения криптовалюты. Если первый ботнет, как предполагают специалисты, был создан начинающим хакером или скрипт-кидди, то он определенно учится. Новая версия малвари предназначена не только для атак на IoT-девайсы (вредонос по-прежнему использует те же эксплоиты), но и на устройства для майнинга криптовалюты Ethereum.
Satori.Coin.Robber сканирует порт 3333 и ищет майнинговое ПО Claymore Miner, чтобы затем подменить адрес кошелька майнера на свой. Пока исследователи не опубликовали практически никакой информации о самом эксплоите, который применяет малварь, так как опасаются усугубить ситуацию. Известно лишь, что атакующий может без надлежащей аутентификации взаимодействовать с устройством и подменять данные. Так, Satori.Coin.Robber изменяет конфигурацию майнера, добавляя новый пул (eth-us2.dwarfpool.com:8008) и новый кошелек (0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d). В настоящее время, согласно статистике пула, оператор малвари заработал более 2 ETH (более 2000 по текущему курсу).
Более того, автор вредоноса оставляет послание следующего содержания, на случай владелец майнера обнаружит взлом:
«Это разработчик Satori. Не волнуйтесь из-за этого бота, пока у него нет никаких вредоносных функций, так что проходите, не обращайте внимания. Со мной можно связаться по адресу curtain@riseup.net».
Necurs
Операторы один из крупнейших ботнетов в мире, Necurs, насчитывающего свыше 6 миллионов зараженных хостов, тоже заинтересовались криптовалютой. Напомню, что ранее Necurs занимался преимущественно рассылкой вредоносного спама, к примеру, в конце ноября 2017 года ботнет начал распространять шифровальщика Scarab со скоростью 12,5 млн спамерских писем за несколько часов. Но основной малварью, распространяемой Necurs, является известный банкер Dridex .
Теперь журналисты издания Bleeping Computer, совместно с ИБ-специалистом и автором блога MyOnlineSecurity, который известен просто под именем Дерек, обнаружили, что Necurs используется для манипуляции курсами криптовалют.
Стоит сказать, что это не первый опыт такого рода для владельцев ботнета. Ранее операторы Necurs уже пытались манипулировать рынком ценных бумаг. Тогда послания спамеров строились на классической в этой области схеме «накачки и сброса» (pump-and-dump). Эта незаконная практика используется для искусственного повышения цен на акции, путем введения пользователей в заблуждение, с целью продать дешевые акции по более высокой цене. Ранее злоумышленники массово дезинформировали пользователей, сообщая, по данным некой манхеттэнской фирмы, в скором времени компания InCapta Inc ($INCT), которая занимается разработкой мобильных приложений, будет приобретена по цене $1,37 за акцию компанией DJI, производящей дронов. Злоумышленники рекомендовали скупать акции InCapta Inc, пока не поздно, и обещали, что эти вложения принесут большую прибыль.
Сейчас операторы ботнета используют ту же тактику, вновь реализуя схему pump-and-dump, только на этот раз для «продвижения» криптовалюты Swisscoin (SIC). Причем данный альткоин еще в прошлом году был назван сетевым маркетингом от криптовалюты, реализующим так называемую «схему Понци», после чего его обращение было приостановлено. Однако торговля вновь возобновилась 15 января 2018 года, чем и поспешили воспользоваться злоумышленники.
Спам, рассылаемый сейчас Necurs, обещает, что стоимость Swisscoin может увеличиться на 50 000 процентов в текущем году, а вложение 1000 долларов в итоге принесет инвестору миллион.
К сожалению, пока трудно судить, как именно действия операторов Necurs влияют на стоимость Swisscoin, так как 16-17 января 2018 года весь криптовалютный рынок ощутимо «просел», цена Bitcoin опускалась до отметки 9000 долларов, и стоимость альткоинов тоже менялась практически непредсказуемо (преимущественно в сторону резкого понижения).
Атаки на веб-серверы
Однако ботнеты — далеко не единственная проблема на сегодняшний день. Уже давно стало ясно, что преступники осознали, насколько выгодным может быть заражение майнинговой малварью различных серверов, на которых вредоноса обнаруживают далеко не сразу, а их мощность, как правило, существенно превосходит обычные пользовательские устройства.
Очередным тому доказательством стало обнаружение вредоноса RubyMiner, о котором предупредили специалисты Check Point и Certego. По данным исследователей, малварь массово атакует уязвимые веб-серверы в Великобритании, Германии, США, Норвегии и Швеции, и успела заразить более 700 машин за первые сутки.
Под угрозой оказались уязвимые перед различными багами серверы на базе Windows и Linux. Эксплуатируя различные уязвимости, обнаруженные в PHP, Microsoft IIS и Ruby on Rails еще в 2012-2013 годах, преступники устанавливают на серверы майнер XMRig для «добычи» криптовалюты Monero. По данным специалистов, преступники не особенно стараются скрыть свои действия, скорее атака направлена на компрометацию как можно большего количества устройств за минимальное время.
Учитывая, что злоумышленники избрали своей целью серверы, уязвимые перед проблемами пятилетней давности, можно ожидать, что эти машины давно «заброшены», и обнаружить скрытый манер будет попросту некому.
