Ξαφνική άνοδος του browser-based cryptojacking τους τελευταίους μήνες

Το browser-based cryptocurrency mining, γνωστό και ως cryptojacking έχει επιστρέψει για τα καλά τους τελευταίους δύο μήνες (από τον Ιούνιο).

Στην έκθεση “Threat Landscape Trends report for Q2 2020“, η αμερικανική εταιρεία ασφαλείας Symantec δήλωσε ότι το cryptojacking σημείωσε αύξηση 163%, σε σύγκριση με τα προηγούμενα τρίμηνα.

Η άνοδος της συγκεκριμένης επίθεσης εξέπληξε πολλούς ειδικούς ασφαλείας που θεωρούσαν ότι το cryptojacking είχε σχεδόν εξαφανιστεί.

Ένα σύντομο ιστορικό του browser-based cryptojacking

Οι μέρες δόξας του browser-based cryptocurrency mining (cryptojacking) διήρκεσαν από τον Σεπτέμβριο του 2017 έως τον Μάρτιο του 2019. Κατά τη διάρκεια αυτής της περιόδου το cryptojacking ήταν μια από τις πιο διαδεδομένες μορφές κυβερνοεπιθέσεων.

Η άνοδος αυτού του συγκεκριμένου malware trend συνέπεσε με την έναρξη και το κλείσιμο της Coinhive, μιας γερμανικής υπηρεσίας που επέτρεπε στους χρήστες να κάνουν mining Monero μέσα στον δικό τους ιστότοπο, προσθέτοντας μόνο μια μικρή βιβλιοθήκη JavaScript (coinhive.js) στον source code των sites τους.

Η συγκεκριμένη υπηρεσία έγινε πολύ δημοφιλής στις ομάδες εγκλήματος στον κυβερνοχώρο.

Οι εγκληματίες άρχισαν να παραβιάζουν sites σε όλο τον κόσμο και να φορτώνουν κρυφά τη βιβλιοθήκη της Coinhive στα sites, με σκοπό να εξορύξουν Monero.

Ωστόσο, τον Μάρτιο του 2019, οι διαχειριστές της Coinhive ανακοίνωσαν ότι κλείνουν την υπηρεσία (για διάφορους λόγους).

Επιπλέον, εκείνη την περίοδο, πολλοί κατασκευαστές browsers άρχισαν να αναπτύσσουν λειτουργίες ασφαλείας για τον εντοπισμό και τον αποκλεισμό cryptojacking λειτουργιών.

Τέλος, ακαδημαϊκές ομάδες άρχισαν να εξετάζουν την αποτελεσματικότητα των mining malware. Για παράδειγμα, ένα ακαδημαϊκό έγγραφο που δημοσιεύθηκε τον Αύγουστο του 2019 ανακάλυψε ότι το cryptojacking ήταν απίστευτα αναποτελεσματικό (τουλάχιστον στις περισσότερες περιπτώσεις) για τη δημιουργία εσόδων, παρά τη δημοτικότητά του μεταξύ των hacking ομάδων.

Αυτοί ήταν οι λόγοι για τους οποίους μετά το κλείσιμο της Coinhive, την άνοιξη του 2019, οι ανιχνεύσεις για cryptojacking επιθέσεις μειώθηκαν αισθητά (σχεδόν ανύπαρκτες), αφού οι περισσότερες συμμορίες στράφηκαν σε άλλες τακτικές.

Router-hijacking botnet

Πριν από τη νέα έκθεση, η Symantec είχε δηλώσει ότι οι ανιχνεύσεις για cryptojacking επιθέσεις παρέμεναν σε χαμηλά επίπεδα.

Παρόλο που η εταιρεία δεν μπόρεσε να σχολιάσει την πηγή της αύξησης των επιθέσεων τον Ιούνιο, κάποιοι ειδικοί υποστηρίζουν ότι η ξαφνική αύξηση οφείλεται πιθανότατα σε ένα router botnet.

Τέτοια περιστατικά έχουν συμβεί στο παρελθόν και στη Λατινική Αμερική.

Οι εγκληματίες συχνά παραβιάζουν οικιακά routers, αλλάζουν τις ρυθμίσεις DNS και τα χρησιμοποιούν ως διακομιστές μεσολάβησης (proxies) ή τα χρησιμοποιούν για να ξεκινήσουν επιθέσεις DDoS.

Σε σπάνιες περιπτώσεις, ορισμένες ομάδες θα πειραματιστούν με άλλους τρόπους δημιουργίας εσόδων από τα router botnets, αναπτύσσοντας cryptojacking scripts.

Ωστόσο, παρά την ξαφνική άνοδο των browser-based cryptojacking επιθέσεων τον Ιούνιο, δεν αναμένεται πλήρης επιστροφή. Οι περισσότερες ομάδες που πειραματίστηκαν με το cryptojacking στο παρελθόν, το εγκατέλειψαν μερικές εβδομάδες αργότερα, καθώς ανακάλυψαν ότι το browser-based cryptocurrency-mining ήταν σπατάλη χρόνου και πολύ “θορυβώδες”, τραβώντας περισσότερη προσοχή στις δραστηριότητές τους.