Bitcoin ve diğer kripto para birimlerinin mimarisi dolayısıyla, kripto para birimi satın almanın yanı sıra kullanıcılar "madenci" olarak tabir edilen özel yazılımlar ile bilgisayarların işlem gücünden faydalanarak bir birim kripto para (veya coin) üretebiliyor. Aynı zamanda, kripto para birimi kavramına göre, ne kadar çok para üretilirse, yeni bir coin üretmek için gereken zaman ve işlem gücü de bir o kadar artıyor. Birkaç yıl önce, gizlice Bitcoin madencileri yükleyen (ve kurbanlarının bilgisayarlarından faydalanarak suçlular için para madenciliği yapan) zararlı yazılıma çok sık rastlanıyordu fakat üretilen Bitcoin sayısı arttıkça, daha fazla Bitcoin üretmek zorlaşmıştı ve hatta söz konusu süreç işe yaramaz hale gelmişti. Suçluların bir madencilik operasyonundan elde edeceği gelir, bu zararlı yazılımı yaratmak, yaymak ve kullandıkları destekleyici altyapı için yaptıkları yatırımı karşılamaz olmuştu.
Ancak, ilk ve en tanınan kripto para birimi olan Bitcoin'in fiyatı son yıllarda birim başına yüzlerce dolardan binlerce dolara yükselince, kripto para birimlerine olan ilgi dünya çapında bir patlama yaşadı. Yüzlerce Bitcoin alternatifi kullanıma sunuldu ve bunların da birçoğu kısa bir süre içerisinde hatırı sayılır miktarda değer kazandı.
Kripto para birimi pazarlarındaki bu değişimler ister istemez siber suçlularında dikkatini çekti ve binlerce bilgisayara gizlice kripto para birimi madenciliği yazılımları yükledikleri dolandırıcılık planlarını yeniden hayata geçirmelerine sebep oldu.
Kaspersky Lab uzmanlarının yakın zamanda yaptığı araştırmaların sonuçlarına göre, yeni tespit edilen botnetlerin arkasındaki suçlular zararlı yazılımlarını kullanıcıların gönüllü olarak yükledikleri reklam destekli programlar yardımıyla yayıyor. Söz konusu yazılım kurbanın bilgisayarına yüklendikten sonra madenci yazılımı yükleyecek olan bileşeni indiriyor ve madencinin mümkün olduğunca uzun çalışmasından emin olmak üzere aşağıdaki gibi bir takım faaliyetlerde bulunuyor:
- Güvenlik yazılımını devre dışı bırakmaya çalışıyor;
- Çalıştırılan tüm uygulamaları takip ederek, sistem faaliyetlerini veya yürütülmekte olan süreçleri gözlemleyen bir program çalışırsa, kendi faaliyetlerini askıya alıyor;
- Madencilik yazılımının bir kopyasının sabit sürücüde her zaman bulunduğundan emin oluyor ve silinirse yeniden kuruyor.
Madencilik yoluyla oluşturulan paralar suçluların cüzdanlarına gönderiliyor; arkalarında ise neden yavaş performans gösterdiği tam anlaşılamayan bir bilgisayar ile normalin biraz üzerinde elektrik faturaları bırakıyor. Kaspersky Lab uzmanlarının gözlemlerine göre, suçlular özellikle iki kripto para birimini tercih ediyor: Zcash ve Monero. Bu iki para biriminin seçilme sebebi ise büyük olasılıkla, yapılan işlemlerin ve cüzdan sahiplerinin anonimleştirilmesine olanak sağlamaları.
Kötü niyetli madencilerin geri dönüşünün ilk işaretleri Kaspersky Lab tarafından 2016 Aralık ayında görüldü. Şirketin araştırmacılarından biri, zararlı yazılım bulaşmış olan ve Ekim 2016 sonunda lansmanı yapılan bir kripto para birimi olan Zcash'in madenciliğini yapan 1000 bilgisayar tespit etmişti. Söz konusu botnet, Zcash'in hızla yükselen değeri sayesinde sahiplerine haftada 6000 dolara kadar para kazandırabiliyordu. Bu gelişmeyle birlikte, yeni madencilik botnetlerinin ortaya çıkacağı tahmin edilmişti ve son araştırmalar da bu tahminin doğru olduğunu gösteriyor.
Kaspersky Lab'da zararlı yazılım analisti olarak görev yapan Evgeny Lopatin, "Kötü niyetli madencilerin tespit edilmesi çok zor oluyor çünkü meşru madencilik yazılımları kullanıyorlar. Normal şartlarda kullanıcılar bu yazılımları kendi istekleriyle yüklüyorlar. Bu iki botneti incelerken fark ettiğimiz bir diğer endişe verici nokta ise, kötü niyetli madencilerin de yeraltı pazarında değer kazanmaya başlamış olması. Parasını ödemeye hazır olan herkesin kendi madencilik botnetini yaratmasını sağlayan yazılımlar satıyorlar. Bu da yakın zamanda tespit ettiğimiz botnetlerin son olmadığını gösteriyor" diyor.
Genel olarak, kripto para birimi madencileriyle karşılaşan kullanıcıların sayısı son yıllarda çarpıcı bir biçimde artmış bulunuyor. Örneğin, 2013 yılında Kaspersky Lab ürünleriyle korunan dünya çapındaki 205,000 kullanıcı bu tür tehditlerle karşılaştı. 2014'te 701.000'e yükselen sayı, 2017'nin ilk sekiz ayında 1.65 milyona ulaştı.
Bilgisayarlarının elektrik harcayan bir zombiye dönüşerek suçlulara para kazandırmak için çalışmasını önlemek isteyen kullanıcılara Kaspersky Lab uzmanları aşağıdaki önemleri almalarını öneriyor:
Güvenilir olmayan kaynaklardan edindiğiniz şüpheli yazılımlar yüklemeyin.Güvenlik yazılımınızın reklam gösteren yazılımları tespit etme özelliği varsayılan olarak kapalı olabilir. Açtığınızdan emin olun.Başarısı kanıtlanmış bir internet güvenliği çözümü yükleyerek cihazlarınızı kötü niyetli madenciler de dâhil olmak üzere tüm tehditlerden koruyun.Bir sunucunuz varsa bir güvenlik çözümüyle korunduğundan emin olun, çünkü yüksek bilgi işleme kapasiteleri sebebiyle suçlular için cazip bir hedef olabilirler.
Kaspersky Lab ürünleri, kötü niyetli madencilik yazılımlarını yayan söz konusu zararlı yazılımı aşağıdaki isimlerle tespit ediyor ve engelliyor:
- RiskTool.Win32.BitCoinMiner.hxao
- PDM:Trojan.Win32.Generic