כיצד הפכתם לפועלים לכריית מטבעות קריפטו?

מאת: אריה דנון, מנהל מחלקת אבטחת המידע באבנט תקשורת, המפיצה את פתרונות Sophos בישראל.

האקרים מצאו דרך חדשה לנצל את המחשבים שלכם בלי לבקש את רשותכם - Cryptojacking. אם גם אתם חווים בזמן האחרון האטה בפעילות המחשב או המובייל שלכם, או אם המאוורר של המחשב שלכם עובד מאד קשה לאחרונה, זה יכול להיות סימן לכך שגם המחשב שלכם משמש לכריית מטבעות קריפטו על ידי פושעי סייבר.

הפעילות הזדונית של Cryptojacking זכתה לכותרות בחודשים האחרונים. דוח שפורסם בימים אלו על ידי ה- Cyber Threat Alliance (CTA) מעלה כי מספר הנוזקות של ה- Cryptojacking קפץ ביותר מ- 400% מאז שנה שעברה.

מהו בעצם Cryptojacking?

על מנת להבין מהו Cryptojacking יש להבין קודם כל מהי כריית מטבעות קריפטו (Cryptomining). כריית מטבעות קריפטו דומה מאד לכריית זהב. כמו זהב, ישנם מיליוני מטבעות קריפטו בעולם, אלא שחלק גדול מהם עדיין לא זמין. הכורים מחלצים אותם על ידי פתרון אלגוריתמים בעזרת כוח מחשוב חזק. ברגע שהם מאושרים, הכורה מקבל את הגמול שלו.

כריית מטבעות הקריפטו הופכת ל- Cryptojacking כאשר התהליך הזה מתבצע באופן לא חוקי וללא אישור. כל מה שפושעי הסייבר צריכים לעשות על מנת לעשות כסף מכריית קריפטו הוא לגנוב כוח מחשוב ממשתמשים. במקום להסתמך על חוות שרתים, הם יוצרים לעצמם חווה ממספר אדיר של מחשבים ומכשירים אישיים שלא שייכים להם ממקומות שונים בעולם, וכפי שציינתי, ללא רשות. פושעי הסייבר מדביקים מחשבים, שרתים ומכשירים ניידים בנוזקות מבלי שבעליהם יהיו מודעים לכך כלל.

איך מתבצעת ההדבקה?

ישנן שתי דרכים בהן Cryptojacking מתבצע – בדפדפן ודרך התקנת נוזקה במכונה עצמה. בגישת הדפדפן, פושעי הסייבר פורצים לתוך שרת web ומזריקים קוד לכריית קריפטו מבוסס דפדפן, אשר כורה מטבעות בכל פעם שמישהו מבקר באתר. ראינו דוגמה מובהקת לכך לאחרונה כאשר אתרי ממשל בארה"ב, אנגליה ואוסטרליה נדבקו בקוד לכריית מטבעות קריפטו דרך דפדפן של שרות שמקריא תוכן של אתרים עבור גולשים שאינם שולטים בקריאת אנגלית.

החדשות הרעות לצרכנים הן ש- Cryptojacking דרך הדפדפן הוא אגנוסטי לפלטפורמה. כלומר כל המכשירים שלכם, כולל טלפונים, יכולים להיפגע. ראינו תוכנות כרייה שהתווספו ליישומים פופולאריים, דוגמת נטפליקס ואינסטגרם והיו גם דיווחים לאחרונה על טלפונים ניידים שנפגעו פיזית על ידי אותם פושעי סייבר.

החדשות הטובות הן שתוכנות כרייה מבוססות דפדפן אינן עושות שום דבר זדוני נוסף למערכות שלכם, מלבד לעייף אותן. התוכנה עשויה לגרום למחשבים ולמכשירים שלכם לרוץ יותר לאט ואולי תשלמו כמה אגורות יותר בחשבון החשמל. העובדה שהנוזקה כולה שמורה בדפדפן עצמו מבטיחה שהפושעים לא מתקרבים למידע שלכם.

מצד שני, פושעי סייבר יכולים גם לפרוץ לרשת של הצרכן ולהתקין ישירות במכשירים עצמם תוכנה לכריית מטבעות קריפטו על מנת לגנוב חשמל וכוח מחשוב. תוכנת הכרייה המותקנת היא איום ממשי יותר. מעבר לכך שהיא מנצלת את כוח המחשוב של המכשירים, הבעיה הגדולה יותר היא שהמכשירים נפרצים. אם האקר יכול להתקין תוכנת כרייה, הוא יכול להתקין בסבירות גבוהה נוזקות מסוג אחר, כמו כופרות.

אגב, פושעי סייבר תוקפים את כולם ב- Cryptojacking. מחקר שבוצע על ידי Sophos מראה כי פושעי הסייבר משתמשים באותן טקטיקות של Cryptojacking כנגד עסקים, עובדים וצרכנים ביתיים.

מה לעשות אם הותקנה תוכנת כרייה במערכות שלי?

כפי שציינתי, אם המחשב או הטלפון הנייד שלכם עובד באיטיות יתרה ומתאמץ יתר על המידה, סימן שהותקפתם על ידי Cryptojacking. תוכנת הכרייה יוצרת תגובה פיזית במכשירים. במקרה זה, אין פעולה אחת ספציפית שיש לעשות על מנת לעצור את הפעולה, אבל אבטחת מידע טובה יכולה להיות קו הגנה מצוין למניעת מצבים מסוג זה:

  • עדכנו את התוכנות המותקנות לעיתים קרובות עם טלאי אבטחה.
  • הורידו תוכנות רק דרך מקורות מאושרים.
  • אל תפתחו ואל תקליקו על לינקים כאשר אינכם יודעים מאיפה הם הגיעו.
  • צרו סיסמאות מורכבות וחזקות, ואל תשתפו אותם עם אף אחד.
  • החילו אותנטיקציה של שני גורמים כאשר אפשר.
  • גבו באופן סדיר את המידע ושמרו על עותק off-site.
  • אבטחו את המחשבים והרשת שלכם עם פתרונות אבטחת מידע מתקדמים.