Malware minerador: poderá ser o novo ransomware?

Esse tipo de ataque surgiu em meados de 2011, como resultado secundário das principais ameaças distribuídas pelos cibercriminosos, tais como worms e backdoors, e se transformaram em uma forma eficaz de lucrar. Com isso, operadores de espionagem cibernética e de grupos de hacking também adotaram a estratégia

Compartilhar:

O malware de mineração de criptomoedas será o novo ransomware? Com a popularização do Bitcoin, a utilização de criptomoedas vem, cada vez mais, chamando a atenção dos cibercriminosos. Para se ter uma ideia, a mineração das criptomoedas foi, durante o ano de 2017, o evento com o maior número de detecções em dispositivos conectados à roteadores domésticos.

 

Esse tipo de ataque surgiu em meados de 2011, como resultado secundário das principais ameaças distribuídas pelos cibercriminosos, tais como worms e backdoors, e se transformaram em uma forma eficaz de lucrar. Com isso, operadores de espionagem cibernética e de grupos de hacking também adotaram a estratégia.

 

Em janeiro de 2017, por exemplo, o Bitcoin atingiu o valor US$ 1 mil dólares por unidade, com a sua crescente valorização, chegou a bater o recorde de US$20 mil dólares por unidade. A história da Monero (XMR), uma das criptomoedas mais famosas, foi a mesma: o valor disparou de US$ 13 dólares (em janeiro de 2017) para US$ 325 dólares (em fevereiro de 2018). Apesar de voláteis, aumentos expressivos na cotação das moedas, geram interesses.

 

Os criminosos cibernéticos usam qualquer método para gerar ou aumentar seus lucros: exemplo disso, é o surgimento do malware de mineração de criptomoedas e sua ascensão meteórica no cenário de ameaças. Como mostrado abaixo, o uso de malwares de mineração de criptomoedas aumentou expressivamente, chegando ao máximo de 116.361 ataques, em outubro de 2017, antes de estabilizar em novembro e dezembro do mesmo ano.

 

Detecções de malwares mineradores de criptomoeda em 2017

 

Outras mudanças de paradigmas ocorridas dão indícios das futuras ações dos cibercriminosos em relação à mineração de criptomoedas: exploração de ferramentas legítimas e Greyware, em especial a Coinhive, a preferida para a mineração da criptomoeda Monero e o surgimento de mineradores de criptomoedas que operam sem arquivos.

 

Do Bitcoin ao Monero

 

A Coinhive permite que usuários e empresas alternem entre plataformas de monetização por meio de um código JavaScript: ele pode ser usado na CPU de um visitante do site para minerar o Monero. A aparente comodidade e personalização deste método chamou a atenção dos cibercriminosos.

 

Na verdade, versões maliciosas do minerador da Coinhive foram identificadas como o 6º malware mais comum do mundo, atacando até mesmo sites oficiais de organizações americanas e britânicas, além de servidores em nuvem de empresas de alto perfil. A plataforma de mineração também pode ser disseminada por meio de malvertisements.

 

A moeda Monero carrega consigo um maior anonimato do que o bitcoin. Isso faz com que seja mais difícil rastrear as transações feitas através da blockchain da Monero, tais como: endereço, valor, origem e destino, remetentes e destinatários e etc.

 

Fileless Malware

 

Assim como ocorreu com o amadurecimento do ransomware, foram vistos em ação, alguns exploits e métodos de instalação de malwares sem arquivos para instalar mineradores. Por exemplo, a Coinhive observou de 10 a 20 mineradores ativos em um site, conseguem gerar um lucro de 0,3 XMR, ou seja, US$ 97 dólares (em 22 de fevereiro de 2018).

 

Um outro malware de mineração de criptomoedas encontrado no ano passado, usou o EternalBlue para disseminar e explorar o Windows Management Instrumentation (WMI) de forma persistente. Na realidade, o malware Adylkuzz de mineração de Monero, foi identificado como um dos primeiros a usar o EternalBlue, antes do WannaCry.

 

A cadeia normal de infecção de um malware de mineração de criptomoedas sem arquivos, inclui carregar um código malicioso na memória do sistema. A única pegada física que indica uma infecção é a presença de um arquivo do pacote malicioso, um serviço de WMI instalado e um PowerShell executável.

 

Para propagação, alguns usam os exploits do EternalBlue, mas também já foram encontrados outros que usam a ferramenta Mimikatz para coletar credenciais de usuários para acessar e transformar as máquinas em pontos de mineração de Monero.

 

As vulnerabilidades são também uma das principais portas de entradas para o malware da mineração de criptomoedas. Isto foi evidenciado pelas recentes tentativas de invasão observadas nos sistemas de gerenciamento do banco de dados Apache CouchDB. O JenkinsMiner, um Trojan remoto que também executa a função de minerador de Monero, e visa infectar servidores Jenkins, obteve um lucro de US$3 milhões de dólares em mineração de Monero.

 

Como bloquear malwares de mineração de criptomoedas

 

O impacto dos malwares de mineração de criptomoedas não é tão palpável ou prejudicial quanto o impacto dos ransomwares, mas isso não significa que não sejam uma ameaça. Em dezembro do ano passado, o malware Loapi de mineração de Monero em sistemas Android, mostrou que podia prejudicar o dispositivo fisicamente.

 

A mineração cibercriminosa de criptomoedas não compromete apenas a vida útil e o consumo de energia do dispositivo. Além disso, ela também reflete o cenário em constante evolução da tecnologia e os riscos que as ameaças podem trazer.

 

Os malwares de mineração de criptomoedas provavelmente vão se tornar tão diversos e comuns quanto o ransomware, usando muitas formas diferentes para infectar sistemas e até mesmo transformar suas vítimas em parte do problema.

 

Isso mostra que precisamos adicionar mecanismos de segurança que tenham a habilidade de detectar e prevenir esse novo tipo de técnica, adotando as práticas recomendadas para empresas e usuários.

 

* Felipe Costa é especialista em Segurança da Informação da Trend Micro

 

Conteúdos Relacionados

Security Report | Overview

71% dos ataques cibernéticos utilizaram credenciais comprometidas em 2024

Dados recolhidos pela IBM reforçam uma das tendências de Segurança Cibernética apontadas pelo Gartner para o ano, focada no aumento...
Security Report | Overview

Aumento das aplicações em containers exige nova estratégia de SI, alerta player

Segundo leitura do Gartner, quase todas as corporações utilizarão aplicações containerizadas até 2028. Com a proposta de se adaptar a...
Security Report | Overview

Processo sancionador da ANPD contra TikTok: Quais os desdobramentos no mercado?

Não basta que as plataformas digitais se limitem a apresentar termos de uso ou políticas de privacidade padronizadas. É essencial...
Security Report | Overview

Threat Intel detecta vazamento de dados de 250 mil brasileiros no setor bancário

ZenoX detectou vazamento de dados na dark web e especialistas destacam medidas práticas de como evitar danos e proteger informações...