Вредоносное ПО WatchDog Cryptojacking поражает сотни систем Windows
Массовая кампания криптоджекинга, атаковавшая пользователей Windows, оставалась незамеченной в течение более двух лет, заработав при этом десятки тысяч долларов. Предполагается, что вредоносная программа для криптоджекинга, известная как WatchDog, унесла сотни жертв и все еще продолжается.
Исследовательская группа, которая раскрыла кампанию криптоджекинга, считает, что это работа высококвалифицированного подразделения, у которого могут быть другие прибыльные операции.
Вредоносное ПО WatchDog Cryptojacking заявляет о сотнях жертв
Вредоносная программа для криптоджекинга WatchDog была опубликована в блоге Palo Alto Networks .
Исследовательская группа Palo Alto Networks, известная как Unit 42, считает, что WatchDog скомпрометировал «не менее 476» систем, состоящих, в основном, из облачных экземпляров Windows и NIX, и что кампания началась с 27 января 2019 года.
За этот двухлетний период в рамках кампании по взлому криптоджекинга было незаконно добыто «не менее 209 Monero (XMR)» с текущей стоимостью около 32 000 долларов.
Вредоносная программа использует двоичный набор из трех частей, созданный с помощью языка программирования Go. Каждый двоичный файл выполняет определенное действие на машине жертвы, например, гарантирует, что процесс майнинга не завершен, или запускает программу майнинга с самого начала. Кроме того, кампания использует несколько конечных точек и доменов, чтобы оставаться скрытыми, увеличивая шансы вредоносного ПО остаться в сети в случае обнаружения.
Ясно, что операторы WatchDog являются опытными кодировщиками и им не уделяется должного внимания в отношении своих операций по добыче полезных ископаемых. Хотя в настоящее время нет никаких указаний на дополнительную деятельность по компрометации облака (например, сбор идентификационных данных облачной платформы и учетных данных управления доступом (IAM), идентификатора доступа или ключей), существует вероятность дальнейшего взлома облачной учетной записи.
Таким образом, Palo Alto Networks полагает, что злоумышленники могут перейти к дальнейшим действиям по компрометации облачных учетных записей, если они еще этого не сделали.
Вредоносное ПО для майнинга криптовалют выгодно преступникам
Недавний бум на рынках криптовалюты – идеальная среда для процветания кампаний криптоджекинга.
Когда в январе 2019 года было запущено вредоносное ПО WatchDog, цена Monero колебалась около 50 долларов за монету. Прибыль от кампании криптоджекинга составила бы только примерно 10000 долларов, если бы цена осталась на этом уровне. Недавно мы сообщили о том, насколько прибыльным может быть вредоносное ПО для преступных организаций, и сделали аналогичные выводы в отношении кампаний криптоджекинга.
Вредоносные программы для криптоджекинга часто используют Monero, ориентированный на конфиденциальность, поскольку он действительно не отслеживается (в отличие от биткойна, который является псевдоанонимным). Хотя криптоджекинг – это игра с точки зрения цены, любой выигрыш – это почти чистая прибыль, поскольку вредоносная программа использует оборудование жертвы для майнинга Monero.
Тем не менее, криптоджекинг – далеко не самая прибыльная форма вредоносного ПО. Программы-вымогатели остаются одним из наиболее эффективных методов вымогательства денег у жертв и не демонстрируют никаких признаков замедления, несмотря на огромные усилия правоохранительных органов по разрушению и разрушению преступных сетей.