Pengertian Apa itu cryptojacking

Pengertian cryptojacking Bagaimana mencegah, mendeteksi, dan memulihkannya

oleh

Pengertian Cryptojacking


Cryptojacking adalah penggunaan tidak sah dari komputer orang lain untuk menambang cryptocurrency. Peretas melakukan ini dengan membuat korban mengklik tautan jahat di email yang memuat kode cryptomining di komputer, atau dengan menginfeksi situs web atau iklan online dengan kode JavaScript yang dijalankan secara otomatis setelah dimuat di browser korban.

Bagaimanapun, kode cryptomining kemudian bekerja di latar belakang karena korban yang tidak curiga menggunakan komputer mereka secara normal. Satu-satunya tanda yang mungkin mereka perhatikan adalah kinerja yang lebih lambat atau kelambatan dalam eksekusi.

Cara kerja cryptojacking


Peretas memiliki dua cara utama untuk membuat komputer korban menambang cryptocurrency secara diam-diam. Salah satunya adalah mengelabui korban agar memuat kode cryptomining ke komputer mereka. Ini dilakukan melalui taktik seperti phishing: Korban menerima email yang tampak sah yang mendorong mereka untuk mengklik link. Tautan menjalankan kode yang menempatkan skrip cryptomining di komputer. Skrip kemudian berjalan di latar belakang saat korban bekerja.

Metode lainnya adalah menyuntikkan skrip di situs web atau iklan yang dikirim ke beberapa situs web. Setelah korban mengunjungi situs web atau iklan yang terinfeksi muncul di browser mereka, skrip secara otomatis dijalankan. Tidak ada kode yang disimpan di komputer korban. Metode apa pun yang digunakan, kode menjalankan masalah matematika yang rumit di komputer korban dan mengirimkan hasilnya ke server yang dikontrol oleh peretas.

Peretas sering kali akan menggunakan kedua metode tersebut untuk memaksimalkan pengembalian mereka. “Serangan menggunakan trik malware lama untuk memberikan perangkat lunak yang lebih andal dan persisten [ke komputer korban] sebagai langkah mundur,” kata Alex Vaystikh, CTO dan salah satu pendiri SecBI. Misalnya, dari 100 perangkat yang menambang cryptocurrency untuk seorang peretas, 10% mungkin menghasilkan pendapatan dari kode di mesin korban, sementara 90% melakukannya melalui browser web mereka.

Beberapa skrip cryptomining memiliki kemampuan worming yang memungkinkan mereka menginfeksi perangkat dan server lain di jaringan. Hal ini juga membuat mereka lebih sulit untuk ditemukan dan dihapus; mempertahankan ketekunan di jaringan adalah kepentingan finansial terbaik cryptojacker.

Untuk meningkatkan kemampuannya untuk menyebar ke seluruh jaringan, kode cryptomining mungkin menyertakan beberapa versi untuk memperhitungkan arsitektur yang berbeda di jaringan. Dalam satu contoh yang dijelaskan dalam posting blog AT&T Alien Labs , kode cryptomining hanya mengunduh implan untuk setiap arsitektur hingga berfungsi.

Skrip mungkin juga memeriksa untuk melihat apakah perangkat sudah terinfeksi oleh malware pesaing cryptomining. Jika cryptominer lain terdeteksi, skrip menonaktifkannya. Seorang cryptominer mungkin juga memiliki mekanisme pencegahan pembunuhan yang dijalankan setiap beberapa menit, seperti yang dicatat oleh AT&T Alien Lab.

Tidak seperti kebanyakan jenis malware lainnya, skrip cryptojacking tidak merusak komputer atau data korban. Mereka mencuri sumber daya pemrosesan CPU. Untuk pengguna individu, kinerja komputer yang lebih lambat mungkin hanya gangguan. Organisasi dengan banyak sistem cryptojacked dapat menimbulkan biaya nyata dalam hal meja bantuan dan waktu TI yang dihabiskan untuk melacak masalah kinerja dan mengganti komponen atau sistem dengan harapan dapat menyelesaikan masalah.

Mengapa cryptojacking populer

Tidak ada yang tahu pasti berapa banyak cryptocurrency yang ditambang melalui cryptojacking, tetapi tidak diragukan lagi bahwa praktiknya merajalela. Cryptojacking berbasis browser tumbuh cepat pada awalnya, tetapi tampaknya berkurang, kemungkinan karena volatilitas cryptocurrency dan penutupan Coinhive, penambang JavaScript paling populer yang juga digunakan untuk aktivitas cryptomining yang sah, pada Maret 2019. Ancaman CyberWall Cyber ​​2020 Laporan mengungkapkan bahwa volume serangan cryptojacking turun 78% pada paruh kedua tahun 2019 sebagai akibat dari penutupan Coinhive.

Namun, penurunan tersebut dimulai lebih awal. Laporan Positive Technology’s Cybersecurity Threatscape Q1 2019 menunjukkan bahwa cryptomining sekarang hanya menyumbang 7% dari semua serangan, turun dari 23% pada awal 2018. Laporan tersebut menunjukkan bahwa penjahat dunia maya telah beralih lebih banyak ke ransomware, yang dipandang lebih menguntungkan.

“Cryptomining masih dalam tahap awal. Ada banyak ruang untuk pertumbuhan dan evolusi, ”kata Marc Laliberte, analis ancaman di penyedia solusi keamanan jaringan WatchGuard Technologies.

Pada Januari 2018, para peneliti menemukan botnet cryptomining Smominru , yang menginfeksi lebih dari setengah juta mesin, sebagian besar di Rusia, India, dan Taiwan. Botnet menargetkan server Windows untuk menambang Monero, dan perusahaan keamanan siber Proofpoint memperkirakan bahwa botnet telah menghasilkan nilai sebanyak $ 3,6 juta pada akhir Januari.

Cryptojacking bahkan tidak membutuhkan keterampilan teknis yang signifikan. Menurut laporan tersebut, The New Gold Rush Cryptocurrency Are the New Frontier of Fraud , dari Digital Shadows, kit cryptojacking tersedia di web gelap hanya dengan $ 30.

Alasan sederhana mengapa cryptojacking menjadi lebih populer di kalangan peretas adalah lebih banyak uang untuk risiko yang lebih kecil. “Peretas melihat cryptojacking sebagai alternatif yang lebih murah dan lebih menguntungkan daripada ransomware,” kata Vaystikh. Dengan ransomware, seorang peretas mungkin meminta tiga orang untuk membayar setiap 100 komputer yang terinfeksi, jelasnya. Dengan cryptojacking, semua 100 mesin yang terinfeksi itu bekerja untuk peretas untuk menambang cryptocurrency. “[Peretas] mungkin melakukan hal yang sama dengan ketiga pembayaran ransomware tersebut, tetapi cryptomining terus menghasilkan uang,” katanya.

Risiko tertangkap dan diidentifikasi juga jauh lebih kecil dibandingkan dengan ransomware. Kode cryptomining berjalan secara diam-diam dan bisa tidak terdeteksi untuk waktu yang lama. Setelah ditemukan, sangat sulit untuk melacak kembali ke sumbernya, dan korban memiliki sedikit insentif untuk melakukannya karena tidak ada yang dicuri atau dienkripsi. Peretas cenderung lebih memilih cryptocurrency anonim seperti Monero dan Zcash daripada Bitcoin yang lebih populer karena lebih sulit untuk melacak aktivitas ilegal kembali kepada mereka.

Contoh cryptojacking dunia nyata

Cryptojackers sangat pintar, dan mereka telah merancang sejumlah skema untuk membuat komputer orang lain menambang cryptocurrency. Kebanyakan bukanlah hal baru; metode pengiriman cryptomining sering kali berasal dari yang digunakan untuk jenis malware lain seperti ransomware atau adware. “Anda mulai melihat banyak hal tradisional yang dilakukan pembuat kesalahan pada masa lalu,” kata Travis Farral, direktur strategi keamanan di Anomali. “Alih-alih mengirimkan ransomware atau Trojan, mereka memperlengkapi kembali itu untuk mengirimkan modul atau komponen penambangan kripto.”

Berikut beberapa contoh dunia nyata:

Botnet cryptocurrency Prometei mengeksploitasi kerentanan Microsoft Exchange
Prometei, yang sudah ada sejak 2016, adalah botnet modular dan multi-tahap yang dirancang untuk menambang cryptocurrency Monero. Ini menggunakan berbagai cara untuk menginfeksi perangkat dan menyebar ke seluruh jaringan. Namun, pada awal 2021, Cybereason menemukan bahwa Prometei mengeksploitasi kerentanan Microsoft Exchange yang digunakan dalam serangan Hafnium untuk menyebarkan malware dan memanen kredensial. Botnet kemudian akan menggunakan perangkat yang terinfeksi untuk menambang Monero.

PowerGhost phising dan mencuri kredensial Windows

Laporan Ancaman Penambangan Cryptocurrency dari The Cyber ​​Threat Alliance (CTA) menggambarkan PowerGhost, yang pertama kali dianalisis oleh Fortinet, sebagai malware tersembunyi yang dapat menghindari deteksi dengan berbagai cara. Ini pertama kali menggunakan spear phishing untuk mendapatkan pijakan pada sistem, dan kemudian mencuri kredensial Windows dan memanfaatkan Instrumentasi Manajemen Windows dan eksploitasi EternalBlue untuk menyebar. Kemudian mencoba menonaktifkan perangkat lunak antivirus dan cryptominers yang bersaing.

Graboid, worm cryptominder

yang menyebar Pada bulan Oktober, Palo Alto Networks merilis laporan yang menggambarkan botnet cryptojacking dengan kemampuan menyebar sendiri. Graboid, demikian mereka menamakannya, adalah worm cryptomining pertama yang diketahui. Ini menyebar dengan menemukan penerapan Docker Engine yang diekspos ke internet tanpa otentikasi. Palo Alto Networks memperkirakan bahwa Graboid telah menginfeksi lebih dari 2.000 penyebaran Docker.

Bagaimana mencegah cryptojacking

Ikuti langkah-langkah berikut untuk meminimalkan risiko organisasi Anda menjadi mangsa cryptojacking:

Gabungkan ancaman cryptojacking ke dalam update keamanan Anda , dengan fokus pada upaya jenis phishing untuk memuat skrip ke komputer pengguna. “update secara berkala akan membantu melindungi Anda saat solusi teknis mungkin gagal,” kata Laliberte. Dia yakin phishing akan terus menjadi metode utama untuk mengirimkan semua jenis malware.

Penulis : Michael Nadeau