Nedávno tomu byl měsíc od poslední aktualizace Acronis True Image 2019 Cyber Protection, jež přinesla rozšíření schopností aplikace rozpoznávat v systémech Windows malware o novou kategorii. Nově kybernetická ochrana krom ransomware rozpozná a zastaví i cryptojacking malware. A už první měsíc nám přinesl nečekaně bohatá telemetrická data: po celém světě jsme zaznamenali desetitisíce detekcí, ze kterých vyšla řada zajímavých zjištění, o která bychom se rádi podělili.
Mezi ty nejzajímavější zjištění bezesporu patří, že kolem dvaceti procent odhalených napadení systémů uživatele cryptojacking malwarem bylo provedeno dosud neviděnými, respektive dosud neodhalitelnými malwarovými kmeny.
Acronis Active Protection využívá k odhalování cryptojacking malwaru stejných technik, jakých využívá k odhalování jeho ransomwarových příbuzných – obě rodiny totiž k proniknutí do uživatelského systému využívají stejných vektorů útoku, a navíc náš software nepracuje s tradičními definicemi hrozeb podle jejich chování, ale definuje je podle jejich kódu pomocí efektivních modelů strojového učení, které analýzu systému provádí kontinuálně a útok je tak zpravidla zastaven dříve, než doopravdy začne. Klasické antiviry si s jedinečným malwarem nedokáží poradit, dokud není aktualizována jejich databáze, což je zpravidla pozdě.
Mezi již dobře známými odhalenými cryptojacking malwary figurovaly xmr-stak-cpu.exe, Claymore CryptoNote CPU Miner, rhminer a xmrig Monero miner. Staré a nově známé malware kmeny, snažící se o neoprávněné těžení, tvořily dohromady 60 % z detekcí, celých 40 % pak tvořilo legitimní použití cryptomining kódu. Do této kategorie spadají všechny procesy těžení kryptoměn pomocí webového prohlížeče, kterým byla uživateli vědomě udělena výjimka. O tom, jak proces těžení kryptoměn funguje, si můžete více přečíst zde.
Z hlediska aktivního výzkumu bylo ještě zajímavější sledovat, co se zprvu zdálo být řadou falešných poplachů. Jako cryptojacking malware naše ochrana opakovaně označovala legitimní Windows procesy, jako je chrome.exe, java.exe, notepad.exe a nejčastěji setup.exe s 93 incidenty o dvou unikátních hashích. Následná analýza našich výzkumníků ukázala, že se jednalo o případy již dřívější, až nyní odhalené infekce uživatelských systémů trojským koněm, který do legitimních procesů úspěšně vložil kód k neoprávněnému těžení kryptoměn.
Příklad infekce notepad.exe cryptojacking malwarem, odhalený díky Acronis Active Protection.
Mezi už méně překvapivé, ale stále hodnotné poznatky patří, že řada systémů hlásících tyto „falešné poplachy“ patřila mezi systémy s největším množstvím hlášení. V případě jednoho úspěšného napadení tedy zásadně roste riziko opakovaných pokusů o napadení stejnými i jinými malwarovými kmeny.
Ve výzkumu a analýze ransomware i cryptojacking malware budeme pokračovat, stejně jako v publikaci našich poznatků. Mezitím ale doporučujeme, abyste nezapomínali aktualizovat svá tradiční antivirová řešení a abyste si alespoň vyzkoušeli Acronis True Image 2019, obsahující naši technologii kybernetické ochrany Acronis Active Protection, případně si stáhli její bezplatnou verzi v podobě samostatné aplikace Acronis Ransomware Protection.
Zpracováno z anglických zdrojů Acronis.
