Вирусы-майнеры – трендовая угроза, и как от неё защититься

За последние годы, известное еще с 2013 года вредоносное ПО Trojan-Downloader.Win32.Rakhni, продолжило развиваться и изменяться. С популярностью темы майнинга криптовалют и стремительным ростом количества людей, инвестирующих в эту индустрию, версии зловреда Rakhniтоже изменялись. Последние вариации вируса теперь обладают возможностью майнинга и загрузчиком, который решает, чем именно заражать компьютер жертвы — шифровальщиком или майнером.

Выбор полезной нагрузки вируса зависит от того, находит ли он на устройстве жертвы папку %AppData%\Bitcoin. При ее наличии, он запускает шифровальщик, который шифрует файлы и требует заплатить выкуп. Если директории, в которой обычно хранится Bitcoin-кошелек, на компьютере нет, а мощность устройства для добычи криптовалюты достаточна, он загружает майнер с помощью которого злоумышленники добывают криптовалюты. Это приводит к снижению производительности устройства и, соответственно, сотрудника, работающего на нем. Также вирус анализирует среду, в которой он запущен, в целях определения различного вида песочниц (механизма для безопасного использования программ) и для последующего принятия решения о работе.

По данным исследования «Лаборатории Касперского», малому и среднему бизнесу успешная атака или невнимательность сотрудника могут обойтись приблизительно в 120 тысяч долларов. При этом для больших организаций средняя стоимость последствий одного инцидента с марта 2017 года по февраль 2018 года составила 1,23 млн долларов.

В таблице ниже представлены пять стран, подвергавшихся атаке Trojan-Downloader.Win32.Rakhni чаще всего.

* Процент уникальных пользователей, подвергшихся атаке Trojan-Downloader.Win32.Rakhni в каждой стране, от всех пользователей, пострадавших от этого зловреда.

По данным «Лаборатории Касперского», основной способ распространения зловреда — рассылка спама. Приходит спам-письмо, с вложенным DOCX-файлом, который содержит PDF-документ. После его открытия появляется запрос разрешения на запуск исполняемого файла от неизвестного издателя, и, получив, разрешение, зловред Rakhni приступает к работе.

Эксперты технического консалтинга Axoft рассказали, что необходимо для обнаружения вируса: «Для идентификации вредоносного ПО недостаточно использовать, например, только одну песочницу либо антивирус. К вопросу защиты от вирусов-шифровальщиков и майнеров имеет смысл подходить комплексно. Для начала, стоит разобраться в том, что происходит в инфраструктуре. Анализ состояния конечных узлов является в некотором роде фундаментом безопасности инфраструктуры. Любые изменения должны быть наглядны и понятны. Важно понимать, валидно ли то или иное изменение, и кто его сделал. Контроль работы конечного узла и отслеживание происходящих внутри процессов позволит оперативно реагировать на угрозы различного вида, в том числе вирусы — шифровальщики или майнеры».

Одним из способов решения может быть комплексное решение Tripwire Enterprise. Данный продукт позволяет легко отслеживать, как защищены ключевые активы и сервисы компании, постоянно контролировать и поддерживать состояние системы в соответствии с политиками и стандартами безопасности, несмотря на установку патчей и апдейтов, а также позволяет валидировать вносимые в систему изменения.