Cyberthreat.id –  Pada Januari 2018, botnet penambangan crypto (cryptomining) bernama “Smominru” menginfeksi lebih dari setengah juta mesin, sebagian besar di Rusia, India, dan Taiwan.

Botnet ini menargetkan server Windows untuk menambang Monero. Perusahaan keamanan siber Amerika Serikat, Proofpoint, memperkirakan “Smominru” menghasilkan nilai sebesar US$ 3,6 juta kala itu.

Tak pernah ada yang tahu pasti berapa banyak mata uang kripto (cryptocurrency) yang ditambang melalui cryptojacking. Namun, kenyataannya, praktik seperti itu marak terjadi. (Baca: Yuk, Mengenali Lebih Jauh Serangan Cryptojacking)

Michael Nadeau, editor senior di CSO Online, dalam tulisannya pada Juli 2020, diakses pada Kamis (8 Oktober 2020), mengatakan, kini serangan cryptojacking berbasis browser tumbuh cepat.

Praktik itu sebelumnya masih terlihat sedikit. Ia menduga karena penutupan Coinhive, penambang JavaScript terpopuler ditutup pada Maret 2019.

Entah ada korelasi langsung atau tidak, usai penutupan itu, menurut The 2020 SonicWall Cyber Threat Report, volume serangan cryptojacking turun 78 persen pada paruh kedua 2019.

Menurut Nadeau, penurunan itu kemungkinan peretas mulai beralih ke serangan ransomware yang juga sama-sama mencari uang dalam bentuk cryptocurrency.

Cryptojacking, kata dia, tidak butuh keterampilan teknis yang signifikan. Menurut laporan bertajuk The New Gold Rush Cryptocurrency Are the New Frontier of Fraud yang diterbitkan Digital Shadows, senjata cryptojacking diperdagangkan di dark web dengan harga hanya US$ 30.

Alasan sederhana mengapa cryptojacking menjadi lebih populer di kalangan peretas adalah lebih banyak uang untuk risiko yang lebih kecil.

“Peretas melihat cryptojacking sebagai alternatif yang lebih murah dan lebih menguntungkan daripada ransomware,” kata Alex Vaystikh, salah satu pendiri perusahaan keamanan siber, SecBI.

Dengan ransomware, seorang peretas mungkin meminta tiga orang untuk membayar setiap 100 komputer yang terinfeksi, jelasnya. Dengan cryptojacking, semua 100 mesin yang terinfeksi tersebut bekerja untuk peretas untuk menambang cryptocurrency.

Cryptojackers—sebutan untuk penambang crypto—sangat pintar dan mereka telah merancang sejumlah skema untuk membuat komputer orang lain menambang cryptocurrency.

Metode pengiriman cryptomining sering kali berasal dari malware. Ada sejumlah malware yang memang dirancang peretas untuk menambang mata uang kripto, seperti dikutip dari CSO Online:

 Coinhive

Coinhive ini salah satu yang terbesar. Layanan ini berbasis situs web, jika ada pengunjung yang mengakses situs web yang telah disuntik skrip cryptomining, perangkat pengunjung “membantu” daya bagi peretas menambang cryptocurrency. Namun, seiring berjalannya waktu Coinhive digunakan sebagai penambang cryptocurrency bagi para penjahat dunia maya.

Coinhive sendiri fokus pada Monero. Ditutup pada 2019, penutupannya sendiri karena penurunan nilai Monero dan mata uangnya menjadi lebih sulit untuk ditambang serta sebagian dari mereka disalahgunakan secara luas oleh peretas.

Botnet Smominru

Smominru menginfeksi lebih dari setengah juta mesin di Rusia, India, dan Taiwan, pada 2018. Botnet ini terfokus juga menambang Monero dan menargetkan server Windows. Perusahaan keamanan siber Proofpoint memperkirakan bahwa botnet telah menghasilkan nilai sebesar $ 3,6 juta pada akhir Januari 2018.

PowerGhost

PowerGhost yang dianalisis oleh Fortinet digambarkan sebagai malware tersembunyi yang dapat menghindari deteksi dalam beberapa cara. Peretas menggunakan spear phishing kemudian mencuri kredensial Windows dan memanfaatkan eksploitasi dari Instrumentasi Manajemen Windows — alat administrasi jarak jauh dan eksploitasi EternalBlue untuk menyebar.

Ketika berhasil menginfeksi, PowerGhost mencoba menonaktifkan perangkat lunak antivirus dan cryptominers lain. PowerGhost ini menanamkan dirinya pada satu sistem di jaringan kemudian menyebar ke PC dan server lain di seluruh organisasi korban.

Graboid

Palo Alto Network pada Oktober 2019 merilis laporan yang menggambarkan botnet ini. Graboid adalah worm cryptomining pertama yang diketahui dan menambang mata uang kripto Monero.  Graboid menyebar dengan mengeksploitasi Docker — platform untuk mengirimkan perangkat lunak dalam paket. Palo Alto Networks memperkirakan Graboid telah menginfeksi lebih dari 2.000 penyebaran Docker.

Docker Hub

Pada Juni 2020, Palo Alto Networks mengidentifikasi skema cryptojacking yang menggunakan image Docker di jaringan Docker Hub untuk mengirimkan perangkat lunak cryptomining ke sistem korban.

Menempatkan kode cryptomining dalam image Docker adalah taktik menghindari deteksi. Gambar yang terinfeksi diakses lebih dari dua juta kali, dan Palo Alto memperkirakan sebanyak US$ 36.000 telah diperoleh peretas secara tidak sah.

Varian MinerGate

Menurut laporan The Cyber Threat Alliance (GTA), Palo Alto Networks telah menganalisis varian dari keluarga malware MinerGate. Malware ini memiliki kemampuan untuk mendeteksi pergerakan mouse dan menghentikan aktivitas penambangan. Hal ini untuk menghindari kecurigaan korban yang mungkin melihat penurunan kinerja dari komputernya saat sedang digunakan.

BadShell

Comodo Cybersecurity menemukan malware untuk menambang mata uang kripto yang dijuluki “BadShell”. Malware ini ditemukan di sistem klien yang menggunakan proses Windows yang sah untuk menambang mata uang kripto. BadShell menggunakan PowerShell untuk menjalankan perintah.

Facexworm

Malware pertama kali ditemukan oleh Kaspersky Labs pada 2017 dan merupakan ekstensi Google Chrome yang menggunakan Facebook Messenger untuk menginfeksi komputer pengguna. Awalnya Facexworm untuk mengirimkan adware, tetapi perusahaan keamanan siber Jepang, Trend Micro, pada awal 2020 menemukan malware ini menargetkan pertukaran mata uang kripto dan mampu mengirimkan kode cryptomining.

WinstarNssmMiner

Pada Mei 2018, perusahaan keamanan siber, 360 Total Security, mengidentifikasi cryptominer ini yang menyebar dengan cepat dan terbukti efektif untuk cryptojackers. Malware ini dapat merusak komputer korban bagi siapa saja yang mencoba menghapusnya.

CoinMiner

CoinMiner adalah salah satu contoh di mana peretas merancang malware untuk menemukan dan membunuh cryptominers yang sudah berjalan pada sistem yang telah diinfeksi. CoinMiner membunuh pesaingnya yang sedang berusaha melakukan cryptomining.[]

Redaktur: Andi Nugroho