Как выявить сотрудника, "добывающего" криптовалюту на корпоративных компьютерах - советы экспертов
Домашний майнинг на собственных ресурсах — не самое прибыльное занятие, отмечают эксперты "Лаборатории Касперского". Вкладывать деньги в создание мощных майнинговых ферм рискованно, да и за электроэнергию платить не очень хочется. Поэтому все чаще любители криптовалюты стараются использовать для этого чужое оборудование.
Ущерб от таких действий однозначен: во-первых, оборудование перегревается, а потому быстрее выходит из строя, во-вторых, бизнес-процессы замедляются из-за постоянной сторонней нагрузки, а в-третьих, с какой стати вы должны оплачивать чужие счета за электроэнергию?
Методы майнинга на чужом оборудовании
Рассматривать совсем экстремальные варианты вроде недавнего инцидента в Китае, где местный житель проложил по дну рыбных прудов кабель и воровал электричество для майнинга с нефтедобывающей установки, мы не будем. Это тоже проблема, но она относится к физической безопасности, а не информационной. Если не вдаваться в подробности использования конкретных инструментов, остаются три основных метода:
Веб-майнинг
Это, вероятно, самый распространенный способ. Все, что нужно злоумышленникам — это запустить в вашем браузере вредоносный процесс. Как правило, для этого они внедряют свои скрипты на часто посещаемые сайты или в рекламные баннеры и в фоновом режиме используют ресурсы посетителей для собственного обогащения.
Сомнительно, что веб-майнинг кто-то будет применять против конкретной компании, однако ваши сотрудники могут зайти на совершенно безобидный сайт и, сами того не желая, предоставить злоумышленникам ваши ресурсы. В прошлом году рекламные баннеры с майнящими скриптами находили даже на YouTube.
Вредоносный майнинг
Тут, по сути, ничего нового — обычное заражение вредоносными программами. Просто на этот раз они не шифруют и не воруют данные, а тихо добывают криптовалюту. Причем, поскольку внешне работа майнеров заметна только по стремительному падению быстродействия компьютеров, факт заражения может достаточно долго оставаться незамеченным.
Методы распространения майнеров в этом случае стандартны: фишинговые письма и ссылки, уязвимости в программном обеспечении и так далее. Порой злоумышленникам удается заразить серверы, что увеличивает их прибыль (и ваши потери) в несколько раз. Иногда майнеры находят в информационных киосках и электронных табло, где они могут существовать годами, не привлекая особого внимания.
Инсайдерский майнинг
Опаснее всего третий вариант — инсайдерский майнинг. Суть его сводится к тому, что недобросовестные сотрудники сознательно устанавливают и запускают программы для майнинга на вашем оборудовании. Опасен он в первую очередь потому, что такой процесс нельзя классифицировать как однозначно вредоносный. Он ведь запущен пользователем.
Разумеется, проще всего запустить майнер в сети небольшой компании — меньше шансов, что его там заметят. Однако пострадать от действий таких злоумышленников могут даже правительственные организации. Месяц назад в Австралии был осужден госслужащий, воспользовавшийся своим служебным положением для того, чтобы майнить на правительственных вычислительных мощностях .
Как заметить майнинг?
Первый симптом — тормоза. Если все свободные ресурсы вашего компьютера заняты майнингом, то остальные процессы будут работать ощутимо медленнее, чем должны. Понятно, что это достаточно субъективный показатель (на разных машинах приложения вообще работают с разной скоростью), но резкое падение производительности заметить можно.
Второй — повышение температуры. Перегруженные процессоры выделяют значительно больше тепла, поэтому системы охлаждения начинают больше шуметь. Если кулеры в ваших компьютерах внезапно стали работать громче обычного, это повод задуматься.
Впрочем, надежнее всего установить защитное решение, которое сможет точно определить, майнят ли на вашем оборудовании или нет.
Как уберечь свои ресурсы от майнинга?
Веб-контроль выявит майнер на открытом сайте, а технологии, служащие для защиты от вредоносов, не дадут установить майнер-троян на компьютер.
С инсайдерским майнингом чуть сложнее — потребуется вмешательство администратора.
Поскольку приложения этого класса не обязательно вредоносны, они классифицируются как потенциально опасные. Поэтому админу придется на уровне компании запретить использование потенциально опасного софта и добавить в исключения необходимые инструменты вроде средств удаленного доступа (если они, конечно, используются).