O malware de mineração de criptomoedas será o novo ransomware? Com a popularização do Bitcoin, a utilização de criptomoedas vem, cada vez mais, chamando a atenção dos cibercriminosos. Para se ter uma ideia, a mineração das criptomoedas foi, durante o ano de 2017, o evento com o maior número de detecções em dispositivos conectados à roteadores domésticos.
Esse tipo de ataque surgiu em meados de 2011, como resultado secundário das principais ameaças distribuídas pelos cibercriminosos, tais como worms e backdoors, e se transformaram em uma forma eficaz de lucrar. Com isso, operadores de espionagem cibernética e de grupos de hacking também adotaram a estratégia.
Em janeiro de 2017, por exemplo, o Bitcoin atingiu o valor US$ 1 mil dólares por unidade, com a sua crescente valorização, chegou a bater o recorde de US$20 mil dólares por unidade. A história da Monero (XMR), uma das criptomoedas mais famosas, foi a mesma: o valor disparou de US$ 13 dólares (em janeiro de 2017) para US$ 325 dólares (em fevereiro de 2018). Apesar de voláteis, aumentos expressivos na cotação das moedas, geram interesses.
Os criminosos cibernéticos usam qualquer método para gerar ou aumentar seus lucros: exemplo disso, é o surgimento do malware de mineração de criptomoedas e sua ascensão meteórica no cenário de ameaças. Como mostrado abaixo, o uso de malwares de mineração de criptomoedas aumentou expressivamente, chegando ao máximo de 116.361 ataques, em outubro de 2017, antes de estabilizar em novembro e dezembro do mesmo ano.
Outras mudanças de paradigmas ocorridas dão indícios das futuras ações dos cibercriminosos em relação à mineração de criptomoedas: exploração de ferramentas legítimas e Greyware, em especial a Coinhive, a preferida para a mineração da criptomoeda Monero e o surgimento de mineradores de criptomoedas que operam sem arquivos.
Do Bitcoin ao Monero
A Coinhive permite que usuários e empresas alternem entre plataformas de monetização por meio de um código JavaScript: ele pode ser usado na CPU de um visitante do site para minerar o Monero. A aparente comodidade e personalização deste método chamou a atenção dos cibercriminosos.
Na verdade, versões maliciosas do minerador da Coinhive foram identificadas como o 6º malware mais comum do mundo, atacando até mesmo sites oficiais de organizações americanas e britânicas, além de servidores em nuvem de empresas de alto perfil. A plataforma de mineração também pode ser disseminada por meio de malvertisements.
A moeda Monero carrega consigo um maior anonimato do que o bitcoin. Isso faz com que seja mais difícil rastrear as transações feitas através da blockchain da Monero, tais como: endereço, valor, origem e destino, remetentes e destinatários e etc.
Fileless Malware
Assim como ocorreu com o amadurecimento do ransomware, foram vistos em ação, alguns exploits e métodos de instalação de malwares sem arquivos para instalar mineradores. Por exemplo, a Coinhive observou de 10 a 20 mineradores ativos em um site, conseguem gerar um lucro de 0,3 XMR, ou seja, US$ 97 dólares (em 22 de fevereiro de 2018).
Um outro malware de mineração de criptomoedas encontrado no ano passado, usou o EternalBlue para disseminar e explorar o Windows Management Instrumentation (WMI) de forma persistente. Na realidade, o malware Adylkuzz de mineração de Monero, foi identificado como um dos primeiros a usar o EternalBlue, antes do WannaCry.
A cadeia normal de infecção de um malware de mineração de criptomoedas sem arquivos, inclui carregar um código malicioso na memória do sistema. A única pegada física que indica uma infecção é a presença de um arquivo do pacote malicioso, um serviço de WMI instalado e um PowerShell executável.
Para propagação, alguns usam os exploits do EternalBlue, mas também já foram encontrados outros que usam a ferramenta Mimikatz para coletar credenciais de usuários para acessar e transformar as máquinas em pontos de mineração de Monero.
As vulnerabilidades são também uma das principais portas de entradas para o malware da mineração de criptomoedas. Isto foi evidenciado pelas recentes tentativas de invasão observadas nos sistemas de gerenciamento do banco de dados Apache CouchDB. O JenkinsMiner, um Trojan remoto que também executa a função de minerador de Monero, e visa infectar servidores Jenkins, obteve um lucro de US$3 milhões de dólares em mineração de Monero.
Como bloquear malwares de mineração de criptomoedas
O impacto dos malwares de mineração de criptomoedas não é tão palpável ou prejudicial quanto o impacto dos ransomwares, mas isso não significa que não sejam uma ameaça. Em dezembro do ano passado, o malware Loapi de mineração de Monero em sistemas Android, mostrou que podia prejudicar o dispositivo fisicamente.
A mineração cibercriminosa de criptomoedas não compromete apenas a vida útil e o consumo de energia do dispositivo. Além disso, ela também reflete o cenário em constante evolução da tecnologia e os riscos que as ameaças podem trazer.
Os malwares de mineração de criptomoedas provavelmente vão se tornar tão diversos e comuns quanto o ransomware, usando muitas formas diferentes para infectar sistemas e até mesmo transformar suas vítimas em parte do problema.
Isso mostra que precisamos adicionar mecanismos de segurança que tenham a habilidade de detectar e prevenir esse novo tipo de técnica, adotando as práticas recomendadas para empresas e usuários.
* Felipe Costa é especialista em Segurança da Informação da Trend Micro