Рост криптомайнинга: Уязвимости и угрозы в киберпространстве

Рост криптомайнинга: Уязвимости и угрозы в киберпространстве

Недавние исследования, проведенные Seqrite Lab, выявили тревожную тенденцию: число хакеров, занимающихся криптомайнингом, продолжает расти. В центре внимания находятся две криптовалюты — PKT Classic и Monero. Эти инциденты подчеркивают необходимость усиленной кибербезопасности для защиты от мошеннических действий и несанкционированного использования ресурсов.

Технология PKT Classic

PKT Classic основан на алгоритме проверки работоспособности (PoW) под названием PacketCrypt, который дает возможность майнерам использовать неиспользуемую пропускную способность Интернета. Это отражает цель создания децентрализованного рынка пропускной способности.

Однако злоумышленники внедряются в системы, используя уязвимости, такие как SQL Server, что позволяет им осуществлять операции по интеллектуальному анализу данных без согласия пользователя. Примером может служить инцидент января 2025 года, когда команда была выполнена через sqlserver.exe, что указывает на возможный компромисс системы.

Методы атак

Расследование показало, что преступники использовали легальную утилиту Windows “certutil” для загрузки инструмента майнинга PacketCrypt на взломанные устройства. Для успешного майнинга PKT необходимы:

  • Адрес кошелька
  • URL пула майнинга

Эти параметры легко могут быть использованы злоумышленниками. Инструмент майнинга был разработан на языке RUST и стал общедоступным через репозиторий GitHub, связанный с Калебом, основателем блокчейна PKT cash.

Злоумышленники создавали исполняемые файлы (.exe) и маскировали их под изображения для удобства распространения. Процесс майнинга оказался ресурсоемким, и сообщается, что процесс pkt.exe потребляет до 99% ресурсов центрального процессора, что значительно снижает производительность системы и может привести к поломке оборудования.

Атаки на Monero

Помимо PKT Classic, злоумышленники также нацелились на Monero с использованием программного обеспечения для майнинга XMRIG. В этих атаках использовались уязвимости системы для выполнения сценариев PowerShell, которые загружали вредоносные полезные нагрузки, скрытые защитой Themida для избежания обнаружения. Несмотря на попытки использовать эти файлы для майнинга Monero, их часто останавливали из-за отсутствия файлов конфигурации.

Такой подход к атаке демонстрирует многоступенчатую стратегию, подчеркивающую слабые места систем, такие как:

  • Слабые учетные записи
  • Уязвимости в системах

Продолжающиеся операции по майнингу показывают значительное несанкционированное использование системных ресурсов с целью получения прибыли.

Рекомендации по защите

Для защиты от таких угроз организациям рекомендуется принимать ряд мер:

  • Регулярные обновления программного обеспечения для устранения уязвимостей
  • Внедрение многофакторной аутентификации, такой как CAPTCHA, для предотвращения несанкционированного доступа
  • Применение строгих правил использования паролей
  • Использование эффективных антивирусных решений с возможностями сканирования в режиме реального времени
  • Ограничение административных привилегий
  • Активный мониторинг использования ресурсов для выявления признаков криптомайнинга

Эти меры помогут укрепить защиту организаций от emerging threats в области кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: