Malware minerador: poderá ser o novo ransomware?

Esse tipo de ataque surgiu em meados de 2011, como resultado secundário das principais ameaças distribuídas pelos cibercriminosos, tais como worms e backdoors, e se transformaram em uma forma eficaz de lucrar. Com isso, operadores de espionagem cibernética e de grupos de hacking também adotaram a estratégia

Compartilhar:

O malware de mineração de criptomoedas será o novo ransomware? Com a popularização do Bitcoin, a utilização de criptomoedas vem, cada vez mais, chamando a atenção dos cibercriminosos. Para se ter uma ideia, a mineração das criptomoedas foi, durante o ano de 2017, o evento com o maior número de detecções em dispositivos conectados à roteadores domésticos.

 

Esse tipo de ataque surgiu em meados de 2011, como resultado secundário das principais ameaças distribuídas pelos cibercriminosos, tais como worms e backdoors, e se transformaram em uma forma eficaz de lucrar. Com isso, operadores de espionagem cibernética e de grupos de hacking também adotaram a estratégia.

 

Em janeiro de 2017, por exemplo, o Bitcoin atingiu o valor US$ 1 mil dólares por unidade, com a sua crescente valorização, chegou a bater o recorde de US$20 mil dólares por unidade. A história da Monero (XMR), uma das criptomoedas mais famosas, foi a mesma: o valor disparou de US$ 13 dólares (em janeiro de 2017) para US$ 325 dólares (em fevereiro de 2018). Apesar de voláteis, aumentos expressivos na cotação das moedas, geram interesses.

 

Os criminosos cibernéticos usam qualquer método para gerar ou aumentar seus lucros: exemplo disso, é o surgimento do malware de mineração de criptomoedas e sua ascensão meteórica no cenário de ameaças. Como mostrado abaixo, o uso de malwares de mineração de criptomoedas aumentou expressivamente, chegando ao máximo de 116.361 ataques, em outubro de 2017, antes de estabilizar em novembro e dezembro do mesmo ano.

 

Detecções de malwares mineradores de criptomoeda em 2017

 

Outras mudanças de paradigmas ocorridas dão indícios das futuras ações dos cibercriminosos em relação à mineração de criptomoedas: exploração de ferramentas legítimas e Greyware, em especial a Coinhive, a preferida para a mineração da criptomoeda Monero e o surgimento de mineradores de criptomoedas que operam sem arquivos.

 

Do Bitcoin ao Monero

 

A Coinhive permite que usuários e empresas alternem entre plataformas de monetização por meio de um código JavaScript: ele pode ser usado na CPU de um visitante do site para minerar o Monero. A aparente comodidade e personalização deste método chamou a atenção dos cibercriminosos.

 

Na verdade, versões maliciosas do minerador da Coinhive foram identificadas como o 6º malware mais comum do mundo, atacando até mesmo sites oficiais de organizações americanas e britânicas, além de servidores em nuvem de empresas de alto perfil. A plataforma de mineração também pode ser disseminada por meio de malvertisements.

 

A moeda Monero carrega consigo um maior anonimato do que o bitcoin. Isso faz com que seja mais difícil rastrear as transações feitas através da blockchain da Monero, tais como: endereço, valor, origem e destino, remetentes e destinatários e etc.

 

Fileless Malware

 

Assim como ocorreu com o amadurecimento do ransomware, foram vistos em ação, alguns exploits e métodos de instalação de malwares sem arquivos para instalar mineradores. Por exemplo, a Coinhive observou de 10 a 20 mineradores ativos em um site, conseguem gerar um lucro de 0,3 XMR, ou seja, US$ 97 dólares (em 22 de fevereiro de 2018).

 

Um outro malware de mineração de criptomoedas encontrado no ano passado, usou o EternalBlue para disseminar e explorar o Windows Management Instrumentation (WMI) de forma persistente. Na realidade, o malware Adylkuzz de mineração de Monero, foi identificado como um dos primeiros a usar o EternalBlue, antes do WannaCry.

 

A cadeia normal de infecção de um malware de mineração de criptomoedas sem arquivos, inclui carregar um código malicioso na memória do sistema. A única pegada física que indica uma infecção é a presença de um arquivo do pacote malicioso, um serviço de WMI instalado e um PowerShell executável.

 

Para propagação, alguns usam os exploits do EternalBlue, mas também já foram encontrados outros que usam a ferramenta Mimikatz para coletar credenciais de usuários para acessar e transformar as máquinas em pontos de mineração de Monero.

 

As vulnerabilidades são também uma das principais portas de entradas para o malware da mineração de criptomoedas. Isto foi evidenciado pelas recentes tentativas de invasão observadas nos sistemas de gerenciamento do banco de dados Apache CouchDB. O JenkinsMiner, um Trojan remoto que também executa a função de minerador de Monero, e visa infectar servidores Jenkins, obteve um lucro de US$3 milhões de dólares em mineração de Monero.

 

Como bloquear malwares de mineração de criptomoedas

 

O impacto dos malwares de mineração de criptomoedas não é tão palpável ou prejudicial quanto o impacto dos ransomwares, mas isso não significa que não sejam uma ameaça. Em dezembro do ano passado, o malware Loapi de mineração de Monero em sistemas Android, mostrou que podia prejudicar o dispositivo fisicamente.

 

A mineração cibercriminosa de criptomoedas não compromete apenas a vida útil e o consumo de energia do dispositivo. Além disso, ela também reflete o cenário em constante evolução da tecnologia e os riscos que as ameaças podem trazer.

 

Os malwares de mineração de criptomoedas provavelmente vão se tornar tão diversos e comuns quanto o ransomware, usando muitas formas diferentes para infectar sistemas e até mesmo transformar suas vítimas em parte do problema.

 

Isso mostra que precisamos adicionar mecanismos de segurança que tenham a habilidade de detectar e prevenir esse novo tipo de técnica, adotando as práticas recomendadas para empresas e usuários.

 

* Felipe Costa é especialista em Segurança da Informação da Trend Micro

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

95% das empresas reportaram ataques relacionados à nuvem, aponta pesquisa

Levantamento revela ainda que 92% das empresas atacadas reportaram que dados sensíveis foram expostos e ainda 58% reconhecem que estes...
Security Report | Overview

Uso de IA nas seleções de emprego apresenta riscos de segurança

Tecnologia cada vez mais presente nos processos de Recursos Humanos têm pontos de alerta para um tratamento justo, seguro e...
Security Report | Overview

Fortinet aposta em primeiro assistente com IA generativa para IoT

Security Report | Overview

Players anunciam experiência integrada de observabilidade para empresas

Cisco anuncia a primeira de suas integrações com a Splunk, que permitirá uma visibilidade única e insights em tempo real...