400 000 компьютеров в РФ, Украине и Турции пытались заразить майнером криптовалют

В наше время новостью о кибератаках сложно удивить, но вирусы-криптомайнеры сравнительно новая угроза. Широкое распространение она получила в прошлом году. Уже на декабрь 2017 года от майнеров криптолюват пострадала каждая вторая организация (55%) в мире. 6 марта хакеры провели масштабную кибератаку, чтобы заразить для добычи виртуальных монет сотни тысяч пользователей из России, Украины и Турции.

Жертвами злоумышленников могли стать 400 000 компьютеров, сообщили аналитики Microsoft в официальном блоге компании. Две трети (73%) атакованных систем находилось в России, 17% – в Турции, и 4% – в Украине. Кибератака продолжалась 12 часов, но достигнуть своих целей злоумышленники не смогли.

Угрозу благодаря моделям машинного обучения заметили и заблокировали системы антивируса Windows Defender. Это стандартный “защитник” Windows, который используется в версиях Windows 7, Windows 8.1 и Windows 10. Пользователи этих операционных систем с включенными Windows Defender или Microsoft Security Essentials не пострадали от атаки.

География атаки. Изображение: Microsoft

В Microsoft не объяснили, каким именно путем хакеры пытались заразить пользователей. Злоумышленники использовали модифицированный вирус из семейства Dofoil (или Smoke Loader). После попадания на компьютер, он маскировался под стандартный процесс Windows – explorer.exe. Для майнинга вирус загружал специальное ПО, с помощью которого можно добывать разного рода криптовалюты.

В образцах, проанализированных специалистами компании, майнер использовали для добычи валюты Electroneum. Эту монета, основанная на блокчейне анонимной виртуальной валюты Monero, запустили в ноябре 2017 года. На текущий момент ее рыночная капитализация составляет $325 млн.

Благодаря стремительному росту цен на криптовалюты, хакерам стало выгодно не только красть данные пользователей или требовать у них выкуп за разблокировку компьютера. Злоумышленники также заражают системы, чтобы использовать мощности процессора или видеокарты для скрытого майнинга криптовалют.

Рост количества сайтов, в которых встроены майнеры. Изображение: Cyren

Это происходит без ведома пользователя в фоновом режиме, но может значительно замедляет скорость работы системы, загружая процессор на десятки процентов. Вирусы, загружающие майнеры, прежде всего, могут попадать на компьютер при загрузке файлов из непроверенных источников. Это могут быть зараженные расширения для браузера, офисные документы или программы.

Наиболее популярный майнер Coinhive даже не нужно загружать на компьютер. Он может быть частью кода веб-сайта, при заходе на который систему пользователя начнут использовать для добычи монет. С сентября 2017 по январь 2018 года количество таких сайтов, по данным компании Cyren, выросло на 725% до более 7000. Для защиты от них можно использовать расширения для браузера Chrome (например, No Coin или minerBlock), а в Opera блокировка онлайн-майнеров уже встроена.

Напомним, ранее мы писали о том, как хакеры взломали облако производителя электрокаров Tesla и использовали его для майнинга.

MicrosoftРФТурцияУкраинахакеры