Uppdaterat 2018-02-12:
Ett flertal svenska webbplatser kan ha utsatts för cryptomining igår, söndag 11 februari, bl.a. Polisen, Lunds universitet, Försvarets materielverk, Konsumentverket, Luftfartsverket men också botkyrka.se, haninge.se och moderaterna.se, enligt tidningen ”The Register”.

Attacken skedde via en plugin, ”Browsealoud”, som används för att läsa upp webbplatsens innehåll för synskadade.

Er WordPress server, dator eller Internet läsare kan användas för att gräva efter kryptovaluta utan ditt godkännande. Ni betalar för ”produktionskostnaderna”, webbesökarna dömer ut er webbplats såsom långsam och de kriminella skördar intäkterna.

Då metoderna för kriminell verksamhet ständigt utvecklas är det högst troligt att tillvägagångssättet kommer att användas för andra typer av angrepp i framtiden.

Vad är kryptovaluta?

Den korta förklaringen av kryptovalutor (varav Bitcoin var den första av sitt slag) är att det är helt digitala pengar som du kan skicka eller ta emot via internet. Precis som att du kan gå till ett växlingskontor och byta dina svenska kronor mot amerikanska dollar kan du också växla till dig kryptovalutor som du kan handla med eller spara.

Men till skillnad från “digitala” pengar som du använder när du betalar med kort eller via din internetbank har kryptovalutor inte någon bank. Istället finns pengarna i ett globalt nätverk (en “blockchain”) som delas av alla som använder valutan.

Vad är en ”blockchain”?

Blockchain, eller en blockkedja, är en gemensam databas som lagrar alla transaktioner som någonsin gjorts med en given kryptovaluta. Till exempel kan alla Bitcoin-användare när som helst granska vilken transaktion som helst, hela vägen tillbaka till den första Bitcoin-betalningen som någonsin genomfördes. Blockkedjan finns utspridd över miljontals datorer världen över som kan jämföra sin information. Detta är viktigt för att förhindra att en betalning förfalskas.

Vad är mining?

Medan många investerar i kryptovalutor genom att köpa dem från användare eller via en växlingstjänst så finns det också ett intresse för att tjäna kryptovalutor med hjälp av sin dator. Den processen kallas för mining och har fått nytt liv i samband med nya valutor, speciellt då Monero.

Att Monero fått axla rollen som kaparnas primära guldkalv beror mycket på att valutan är enklare att utvinna än Bitcoin, vilket är idealt om du vill få så många maskiner som möjligt att utföra ditt arbete. Men en annan bidragande faktor är anonymiteten som valutan ger till sin ägare.

För att förklara vad mining är och varför det behövs så hjälper det att jämföra blockkedjan med en vanlig bank. Om du handlar någonting digitalt med “vanliga” pengar behövs ett system för att säkerställa att transaktionen går rätt och riktigt till, exempelvis så att samma pengar inte spenderas av samma person två gånger eller att pengarna är falska.

Handlar du med kort fyller din bank samt företag som Mastercard eller Visa den funktionen – transaktionen går via deras system, så att de kan verifiera att den är giltig. Med kryptovalutor finns ingen sådan mellanhand – pengar flyttas direkt från ett konto till ett annat, utan att en bank är inblandad.

Istället används mining, som bygger på att andra användare på nätverket granskar din överföring och bekräftar att den inte är förfalskad och att samma konto inte har spenderat samma pengar två gånger. Detta sker genom att lösa komplicerade matematiska problem, och belönas dels med en transaktionsavgift och dels med att ny kryptovaluta skapas. Detta istället för att det ska finnas en central bank som trycker nya sedlar.

Belöningen innebär att det går att tjäna pengar på att granska andras transaktioner, och att tusentals eller hundratusentals användare världen över hjälps åt för att bekräfta transaktioner utan en bank. Eftersom uträkningarna som används är komplicerade och tidskrävande innebär miningen i praktiken att du kan byta beräkningskraft mot pengar.

Ett ”legitimt” sätt att gräva kryptovaluta

Ett program som används för mining, dvs att granska och verifiera överföringar av kryptovaluta, är JavaScriptet ”Coinhive”. Detta kan användas av ägaren till en webbplats för att tjäna pengar genom att använda besökarnas CPU för mining istället för annonsintäkter.

Ursprungligen installerades JavaScriptet helt i bakgrunden men i den nyare versionen får besökaren en fråga om att godkänna användandet av besökarens processorkraft (CPU).

Det kriminella sättet att gräva kryptovaluta

En cyberkriminell som ignorerar användarupplevelsen och endast bryr sig om sin egen förtjänst kapar servrar, datorer eller till och med webbläsare för att utnyttja maskinkraften till brytning av Monero.

Kapningen sker normalt via två olika tillvägagångssätt:

  • En infekterad WordPress plugin
  • Javascript, vilket innebär i realtid

Ägaren till den infekterade webbplatsen betalar då kostnaden för elektricitet samtidigt som webbplats besökarnas datorer går långsammare då deras CPU arbetar med mining. I detta läge kan det också vara enkelt att felaktigt få uppfattningen att webbplatsen är långsam och välja andra webbplatser = en förlorad besökare/kund.

Hur stor är den kriminella marknaden?

Enligt säkerhetsföretaget Malwarebytes rapport för säkerhetsåret 2017 skedde det 8 miljarder kryptokapningar om dagen, och antalet väntas bara stiga då de kriminella som tidigare arbetat med ransomware nu förväntas byta bana.

Säkerhetsforskare vid Proofpoint har i januari 2018 upptäckt ett nytt jättelikt botnätverk som utnyttjar 526 000 infekterade maskiner för att utvinna kryptovalutan Monero åt sin operatör. Det skriver Zdnet.

Nätverket som fått namnet Smominru utvinner dagligen 24 monero, cirka 67 000 kronor, och tros redan ha gett sin operatör en vinst på 2,8–3,6 miljoner dollar.

För att infektera sina offer använder Smominru NSA-sårbarheten Eternalblue, vilket är samma sårbarhet som användes under fjolårets stora ransomware-angrepp Notpetya och Wannacry.

Hur skyddar ni er från kriminell mining?

  • Övervaka utnyttjandet av server resurser
    Program för cryptomining försöker utnyttja så många CPU-resurser som det bara kan. Om ni har möjlighet att kontrollera webbplatsens resursanvändning kan ni verifiera om CPU-användningen ligger inom normala nivåer
  • Installera brandvägg (WAF) som detekterar mining
    PHP-malware detekteras bl.a. av Wordfence eller Sucuri
  • Anlita experter för övervakning
    Vi övervakar, identifierar och blockerar försök till implementering av otillbörlig programvara för mining. Samtidigt blockerar vi även annan skadlig kod, brute force-attacker och SQL-injections.

 

WP Support erbjuder tjänsten ”WordPress Säkerhet”. I denna ingår även tjänsten ”WordPress Underhåll” – vi bjuder på 30 dagar ”prova-på” av denna. Inga förpliktelser! Ingen bindningstid! Ingen kostnad!