Jedna z nejrychleji rozvíjejících se malwarových hrozeb postihla v posledních osmnácti měsících masivní množství firem, a většina z nich o tom ani neví. Řeč je o hrozbě zvané cryptojacking, za jejíž oblíbenost může především dramatický nárůst na ceně Bitcoinu, potažmo jiných kryptoměn, z konce roku 2017. Většina obětí cryptojackingu si infekce vlastního systému není vědoma, protože její působení není pro uživatele disruptivní – malware pouze krade výpočetní výkon vašeho CPU procesoru a elektřinu na něj vynaloženou.
K pochopení fungování cryptojackingu není třeba vysvětlovat příliš, stačí představit základy těžby kryptoměn. Těžba většiny kryptoměn zahrnuje mnoho dobrovolníků z celého světa, kteří se snaží vyřešit specifický matematický problém, náročný na výpočetní sílu, výměnou za odměnu pro nejrychlejšího z nich. Výsledek se zapíše do sdílené databáze transakcí, čili je rozeslán všem účastníkům, a „minihra“ začíná znova. U Bitcoinu trvá každá z těchto miniher v průměru 10 minut. Veřejná ověřitelnost platnosti a vzájemná návaznost výsledků zajišťují automatizovanou verifikaci v systému provedených transakcí, pročež už není zapotřebí dalšího ověřování jejich platnosti jakoukoli autoritativní institucí typu banky. Celému procesu se říká Proof-of-Work (PoW) a jedná se o účinné řešení double-spend problému, inherentního všem digitálním měnám, a o jeden z nejhodnotnějších přínosů blockchainové technologie.
K těžbě většiny kryptoměn včetně Bitcoinu se dnes využívá hardware k tomu optimalizovaný, schopný násobně rychlejšího řešení daného problému než normální počítačové procesory, a přitom nevhodný k téměř čemukoli jinému. Říká se jim ASIC čipy neboli integrované obvody pro specifické aplikace.
Existuje ale také řada kryptoměn, které k vlastnímu těžení vyžadují výpočet matematických problémů navržených tak, aby byly odolné vůči známým druhům ASIC čipů a aby byly pro jejich výpočet efektivnější spíše běžně dostupné GPU čili grafické karty (a okrajově CPU). Důvodem k tomuto kroku je široká, celosvětová dostupnost GPU oproti ASIC čipům, kterýchžto výroba je zatím ovládaná jen velmi malou, převážně čínskou skupinou společností, s měsíce dlouhými dodacími lhůtami. Vývojáři se tak snaží proces těžení (ověřování transakcí) zpřístupnit co největšímu počtu zájemců a snížit pravděpodobnost ovládnutí více než 51% výkonu sítě malým počtem silných hráčů, kteří by v takovémto případě mohli zneužít již zmiňované double-spend problematiky, tedy vracet si již utracené peníze zpět do peněženky, čímž by, krom de facto kradení, diskreditovali použitelnost napadené kryptoměny. Tyto 51% útoky na menší PoW kryptoměny jsou čím dál častější.
Nechtěným důsledkem optimalizace těžby na běžné GPU a CPU procesory je fenomén cryptojackingu. Mazaní vývojáři totiž vymysleli způsob, jak matematický úkol, jehož řešení je podstatou těžení, rozdělit na mnoho malých částí a zadat je k výpočtu tisícům CPU procesorů na uživatelských počítačích prostřednictvím aplikací pro Windows či Linux anebo přes JavaScript kód běžící v uživatelově prohlížeči, spuštěný prohlíženou stránkou. Nejznámější a nejrozšířenější implementací těžení kryptoměn přes internetové prohlížeče se stala aplikace Coinhive, jež se zaměřuje na těžbu kryptoměny s názvem Monero.
Ne všude, kde narazíte na kód Coinhive či podobné služby, se ale děje něco nekalého – využívání aplikace na webových stránkách může být i zcela transparentním a legitimním, byť marginálním způsobem monetizace obsahu – vyzkoušel si jej například i oblíbený americký magazín Salon.com. Ten krom prohlížení se subskripcí bez reklam a prohlížení zdarma, ale s reklamami, nabízel i třetí možnost, a to prohlížení bez reklamy za cenu chvilkového těžení vlastním počítačem. Coinhive skriptu využívá i známý pirátský portál thepiratebay.org.
Realita je taková, že i stránky se stotisícovou denní návštěvností si přes Coinhive a podobné služby vydělají jen pár korun. I Salon.com monetizaci pomocí těžení kryptoměn ukončil. Dvakrát lukrativní pak není ani budování a správa botnetů s infikovanými stránkami a uživatelskými počítači. Na vině je jednak propad drtivé většiny kryptoměn na ceně od loňského roku o dobrých 90 %, jednak a především relativní nevhodnost uživatelských CPU k těžení kryptoměn v porovnání nejen s ASIC čipy, nýbrž i s GPU kartami, které zase ale nejde aktivovat přes JavaScript, tudíž ani přes webový prohlížeč a nejde je tedy zatím zneužít ke cryptojackingu.
Jednoduše řečeno, těžení přes prohlížeč nabízí jen málo muziky za hodně peněz. To sice odradí většinu zájemců o legitimní použití, i některé hackery, stále se ale najde dost webových stránek a uživatelských počítačů infikovaných upraveným Coinhive skriptem, které pro hackery nezištně těží za pomoci cizích strojů a ukradené elektřiny, i když jen po malých částkách.
Přístup do vašeho systému hackeři získávají osvědčenými infiltračními technikami typu phishing a man-in-the-middle. Ty důmyslnější varianty cryptojacking malwaru jsou nastaveny tak, aby se spouštěly jen tehdy, když je uživatel neaktivní, případně, aby nekradly více než 20 % CPU, aby bylo těžší je odhalit. Vinu za lehké zpomalení či chvilkovou vytíženost procesoru většina uživatelů pravděpodobně svalí na nejnovější OS aktualizaci, příliš otevřených oken v prohlížeči či na stárnoucí hardware.
Je tedy těžké jej odhalit, a na kvalitě vaší interakce s počítačem se nejspíš téměř nepodepíše – proč se tedy o cryptojacking malwaru vůbec bavíme? Protože s sebou do infikovaných systémů zpravidla vodí i své zákeřnější příbuzné, jako třeba ransomware. Na infikovaných stránkách a v odkazech phisingových emailů dnes často čekají oba malwary spolu s kouskem kódu, který nejdříve zkontroluje stav dalšího zabezpečení vašeho stroje a následně určí, který malware bude výhodnější spustit.
Z využívání stejného vektoru útoku ransomware a cryptojacking malwary ale vyplývá i dobrá zpráva, a totiž že se před obojím můžete chránit prakticky totožně:
Cryptojacking samotný tedy není nic, čeho byste se měli přespříliš obávat. Rozšířenost fenoménu ale jednoznačně poukazuje na fakt, že pořád existuje mnoho koncových uživatelů a společností, které nevyužívají základní bezpečnostní opatření, ani moderní a funkční řešení typu Acronis Active Protection.
Nenechte si zkazit Vánoce a vyzkoušejte jeden z našich produktů, které Acronis Active Protection obsahují, anebo si aspoň stáhněte samostatnou aplikaci Acronis Ransomware Protection zdarma.
