Cryptominers zijn nu veel gebruikelijker dan ransomware

(onzeker is een wekelijkse column die ingaat op het snel escalerende onderwerp cybersecurity.

Geld verdienen met het minen van cryptocurrencies is niet alleen iets dat mensen met hun eigen hardware doen; malware-auteurs hebben ook kwaadaardige software gemaakt om andere mensen het harde werk te laten doen – en dan bedoelen we niet cloud-mijnbouw. Hoewel dit een nieuwe rage op het gebied van het auteurschap van malware vertegenwoordigt, zal het in deze gedaante wellicht niet lang meer bestaan.

In onze geschiedenis van malwarefunctie, hebben we gekeken naar hoe malware de neiging heeft om in golven te verschijnen. Hoewel de meest recente en gevaarlijkste in de recente geschiedenis ransomware is, is deze ver verwijderd van de toppositie aanvallen van de afgelopen maanden door de komst van cryptominers, die geïnfecteerde systemen willen dwingen cryptocurrency te minen direct. Hoewel het de laatste tijd misschien hoog is gestegen, net als de waarde van cryptocurrencies zelf, is het een type malware dat al aan het afnemen is.

Digital Trends sprak met enkele vooraanstaande digitale veiligheidsexperts om erachter te komen wat dit voor de nabije toekomst betekent toekomst van malware en hoe zij denken dat cryptomining-malware er de komende maanden en jaren uit zou kunnen zien.

Geen enkele gekroonde koning duurt eeuwig

“Aangezien cybercriminelen altijd financieel gemotiveerd zijn, is cryptojacking voor hen nog een andere methode om inkomsten te genereren”, zegt Liviu Arsene, senior E-Threat-analist bij BitDefender. “Momenteel overtreft het de ransomware-rapporten met een factor 1 tot 100, en deze aantallen zullen blijven stijgen zolang virtuele valuta populair blijven en de markt erom vraagt.”

Deze statistieken werden ondersteund door MalwareByte's driemaandelijks malwarerapport. Het merkte op dat cryptomining de afgelopen maanden een van de meest voorkomende malware is geworden. Het suggereerde dat deze in de consumentensector het afgelopen kwartaal met maar liefst 4.000 procent was gestegen. Het groeide ook in de zakelijke sector, met een toename van 27 procent in het totale aantal detecties tijdens het afgelopen kwartaal.

Die stijging maakte het tot de op een na meest voorkomende digitale infectie. MalwareBytes merkte de afgelopen drie maanden op dat het slechts net achter de adware kwam. Ter vergelijking: ransomware, die de afgelopen jaren een grote bedreiging vormde, zag een opmerkelijke daling in de consumentenruimte, met een daling van 35 procent.

Een deel daarvan zou te maken kunnen hebben met de meer geavanceerde targeting van ransomware op bedrijven en groter bedrijven, maar het kan ook zijn dat de topproducenten van de ransomware-software zijn stopgezet sporen.

"Er was een grote arrestatie vorig jaar, dat was waarschijnlijk de makers van cerber, destijds de grootste ransomware-familie”, vertelde Adam Kujawa, hoofd malware-intelligentie van MalwareBytes. “Als dat het geval zou zijn, is het logisch dat die specifieke malwarefamilie zou verdwijnen. Daarna hebben we een paar nieuwe families gezien, maar niets dat op hetzelfde niveau wordt verspreid.’

Sinds dat gebeurde merkte Kujawa op dat MalwareBytes een algemene daling in de verspreiding van ransomware had gezien en dat dit indicatief was voor een veranderende richting op de markt.

Profiel van een nieuw roofdier

Hoewel oude hoogtepunten zoals adware en spyware nog steeds vaker voorkomen dan cryptojacking, is de nieuweling al snel een van de meest voorkomende bedreigingen geworden. Malware-auteurs zullen een gratis beschikbare cryptocurrency-miner gebruiken die gericht is op consumentengebruik en deze aanpassen zodat deze werkt stil op een systeem, waardoor het moeilijker te detecteren is en het daardoor langer duurt om inkomsten voor de auteur te genereren voordat het gebeurt ontdekt. De malware wordt dan meestal verspreid naast een andere vorm van malware, zoals een exploitkit, waarmee deze überhaupt kan worden geïnstalleerd.

Maar zelfs als u geen kwaadaardig bestand downloadt of op een onbetrouwbare link klikt, kunnen websites zelf uw machine in de cryptomijnen dwingen, zoals de extreem voorkomende CoinHive-incident van eerder dit jaar.

“Browsergebaseerde cryptojacking wordt erg populair onder cybercriminelen, vooral als het eindgebruikers betreft”, legt Arsene van BitDefender uit. “Implementeer het op legitieme websites met veel verkeer nadat de beveiliging ervan is geschonden, het kan onmiddellijk worden toegepast rendement op investering, aangezien elke bezoeker cryptocurrency zal minen zolang de op scripts gebaseerde mijnwerker op de site blijft server."

Cryptomining heeft ook een paar unieke kenmerken in vergelijking met andere commerciële malware-oplossingen. Om te beginnen is het bijna platformonafhankelijk, met infecties die opduiken op Macs en Android apparaten, evenals Windows-pc's. Kujawa vertelde Digital Trends dat er alleen al in de afgelopen drie maanden maar liefst 1.000 nieuwe op de Mac gerichte cryptominers waren verschenen.

Wat is het probleem?

Als cryptomining niet bijzonder slim of doelgericht is, moeten we ons daar dan al te veel zorgen over maken? Als de computer van een slachtoffer traag wordt terwijl hij of zij zich op een geïnfecteerde website bevindt, in plaats van dat de bestanden worden gecodeerd of identiteit gestolen, zou het niet voor iedereen beter zijn als malware-auteurs zich op dat soort aanvallen zouden concentreren dan op meer traditionele?

“De verspreiding van cryptominers komt niet in de buurt van de ‘iedereen paniek’-toestand [zoals] toen het versleutelen van ransomware voor het eerst uitkwam,” zei Kujawa. “Ik wou dat er overal mijnwerkers waren, dat is het enige waar we mee te maken hadden, en geen ransomware of informatiedieven.”

Arsene van BitDefender was het daar tot op zekere hoogte mee eens en suggereerde dat cryptojacking op het eerste gezicht relatief onschuldig was. Hoewel dit soort malware misschien minder bedreigend is dan andere typen, betekent dit niet dat het geen potentieel heeft om ernstigere bedreigingen te beschadigen of te maskeren.

Eén van die bedreigingen waarmee bedrijven worden geconfronteerd, is productiviteitsverlies, zoals MalwareBytes’ CSO en CIO, Justin Dolly, uitlegde. Als er niets aan wordt gedaan, kunnen cryptominers ook hardwareschade veroorzaken. Zoals MalwareBytes ontdekte toen een van zijn malware-trapsystemen werd geïnfecteerd met een aantal mijnwerkers.

“Na de cryptomining-rage [vorig jaar] had een van onze systemen er een grafische kaart gefrituurd, vanwege het aantal mijnwerkers dat werd belast bij de analyse van dit systeem”, zei Kujawa. "[Ze] zouden de GPU-cycli en CPU opvoeren en deze gewoon uitschakelen, dus moesten we de grafische kaarten vervangen."

Misschien wel het grootste risico van cryptomining is dat het samen met andere soorten malware kan worden gebruikt. Stel je een ransomware-aanval voor, waarbij de gebruiker probeert uit te vinden hoe hij zijn bestanden moet decoderen, zijn pc aan het minen is en de aanvallers nog meer geld verdient.

“Als een slachtoffer is gehackt via een niet-gepatchte kwetsbaarheid of via een bestandsloze aanval, kan het feit dat het slachtoffer draait software voor het minen van cryptocurrency is het minste van hun problemen”, aldus BitDefender Arsène. “Technisch gezien had de aanvaller elke lading kunnen inzetten, variërend van keylogging-malware tot data-exfiltratie-malware.”

Zelfs als cryptomining-malware niet een hele reeks andere problemen met zich meebrengt, bestaat er altijd een kans dat deze bij sommige systemen maanden of zelfs jaren niet wordt gedetecteerd.

Hoe lang gaat de golf duren?

Cryptomining is misschien gevaarlijker dan het lijkt, maar net als alle andere soorten malware zal het waarschijnlijk zijn hoogtijdagen beleven. Omdat de waarde van cryptocurrency sinds eind 2017 is gedaald, is het aantal gevallen van cryptojacking ook gedaald. Hoewel de totale cijfers misschien hoger zijn dan vorig kwartaal, zijn ze lager dan hun piek, zoals blijkt uit het laatste malwarerapport van Malwarebytes.

“Cryptojacking is zeker een blijvertje”, zegt Arsene van BitDefender. “Deze cijfers zullen blijven stijgen zolang virtuele valuta populair blijven en de markt erom vraagt.”

Een andere interessante rimpel die hij naar voren bracht, was dat naarmate de moeilijkheidsgraad van het minen van verschillende cryptocurrencies toeneemt, het veel lucratiever zou kunnen zijn om anderen het harde werk voor je te laten doen.

“Aangezien het minen van cryptocurrency steeds duurder zal worden om iemands eigen privéhardware te gebruiken, is dit het geval zal waarschijnlijk de behoefte aanwakkeren om mijnbouwinstallaties te creëren die uit grote botnets bestaan, waardoor de dreiging van cryptojacking wordt aangewakkerd”, zegt hij gezegd.

Dat is iets dat volgens MalwareBytes ook veel potentieel heeft. Vooral als je bedenkt dat sommige van de enorme IoT-gestuurde botnets die we de afgelopen jaren hebben gezien. Maar uiteindelijk hangt dat allemaal af van de vraag of het daadwerkelijk de moeite waard is om te blijven investeren in die weg van malware-auteurschap.

Het is in ieder geval gemakkelijker voor digitale beveiligingsbedrijven wanneer een nieuwe trend aanbreekt. Ze weten waar ze zich in de nabije toekomst op moeten concentreren. Maar nu cryptominers misschien hun hoogtepunt hebben bereikt, weten de experts niet zeker wat ze nu kunnen verwachten.

“Dit is een abnormale tijd op dit moment, en dat is het engste deel”, zei Kujawa. “Het enge is dat je niet weet waar de criminelen naartoe zullen gaan als cryptocurrencies hen niet langer interesseren.”

Aanbevelingen van de redactie

• Ransomware-aanvallen zijn enorm toegenomen. Hier leest u hoe u veilig kunt blijven
• Hackers zinken naar een nieuw dieptepunt door Discord-accounts te stelen bij ransomware-aanvallen
• Trap niet in deze sluwe nieuwe Microsoft Office-zwendel
• Ransomwarebendes evolueren op nieuwe en gevaarlijke manieren
• Deze onderzoeker versloeg zojuist ransomwarebendes in hun eigen spel