Специалисты компании Symantec опубликовали отчет об угрозах четвертого квартала 2020 года, в котором заметили, что в июне 2020 года вдруг резко увеличилось количество случаев криптоджекинга — майнинга через браузеры пользователей. По сравнению с предыдущими кварталами криптоджекинг продемонстрировал рост на 163%.
Напомню, что пик браузерного майнинга пришелся период с сентября 2017 года по март 2019 года. В основном это было обусловлено появлением сервиса Coinhive, который исходно позиционировался как альтернатива классической баннерной рекламе. В то время пользователям было достаточно «неудачно» зайти на какой-либо сайт, в код которого встроен специальный JavaScript Coinhive (или другого аналогичного сервиса, коих вскоре появились десятки), и ресурсы компьютеров жертв уже использовались для добычи криптовалюты Monero. При этом операторы Coinhive признавались, что совсем не желали создавать инструмент для обогащения киберпреступников и прямо осуждали действия злоумышленников.
В конечном итоге, весной 2019 года сервис закрылся года после хардфорка Monero, так как хэшрейт упал более чем на 50%. Кроме того, на решение разработчиков Coinhive повлиял общий «обвал» криптовалютного рынка, так как тогда XMR потеряла около 85% стоимости. К тому же к этому времени производителей браузеров начали активно развертывать защитные механизмы для обнаружения и блокировки криптоджекинговых атак.
Спустя год после этих событий, исследователи из американского Университета Цинциннати и канадского Университета Лейкхеда писали, что после закрытия Coinhive криптоджекинг практически исчез как класс.
Теперь эксперты Symantec сообщают, что им не удалось связать июньский всплеск с каким-то конкретным источником, то есть исследователи не называют причин этого неожиданного роста числа атак. Поэтому в вопросе попытались разобраться журналисты издания ZDNet. Собственный анонимный источник в антивирусной индустрии сообщил журналистам, что всплеск криптоджекинговых атак, скорее всего, связан с ботнетом, который заражает маршрутизаторы.
По его словам, подобные инциденты случались и раньше, и обычно происходили в Латинской Америке. Хак-группы часто взламывают домашние маршрутизаторы и подменяют настройки DNS, чтобы перехватывать легитимный трафик, используют взломанные роутеры в качестве прокси-серверов, а также злоупотребляют ими для запуска DDoS-атак.
В некоторых случаях хак-группы также пробуют другие способы монетизации своих ботнетов, в частности, развертывают на устройствах скрипты для браузерного майнинга (обычно это модифицированные версии старого coinhive.js, обновленных такми образом, что бы работать уже без Coinhive).
Невзирая на июньский всплеск, эксперты не ожидают полноценного возвращения криптоджекинга. Большинство киберпреступников, которые экспериментировали с майнингом прошлом, быстро отказывались от этой затеи, так как обычно браузерный майнинг оказывается пустой тратой времени: такие атаки привлекают слишком много внимания и почти не приносят прибыли.