Malware minerador: poderá ser o novo ransomware para os hackers?

O malware minerador de criptomoedas será o novo ransomware? Com a popularização do Bitcoin, a utilização de criptomoedas vem, cada vez mais, chamando a atenção dos cibercriminosos. Para se ter uma ideia, a mineração das criptomoedas foi, durante o ano de 2017, o evento com o maior número de detecções em dispositivos conectados à roteadores domésticos.

Malware minerador

Foto: Business Insider

Esse tipo de ataque surgiu em meados de 2011, como resultado secundário das principais ameaças distribuídas pelos cibercriminosos, tais como worms e backdoors, e se transformaram em uma forma eficaz de lucrar. Com isso, operadores de espionagem cibernética e de grupos de hacking também adotaram a estratégia.

Em janeiro de 2017, por exemplo, o Bitcoin atingiu o valor US$ 1 mil dólares por unidade, com a sua crescente valorização, chegou a bater o recorde de US$20 mil dólares por unidade. A história da Monero (XMR), uma das criptomoedas mais famosas, foi a mesma: o valor disparou de US$ 13 dólares (em janeiro de 2017) para US$ 325 dólares (em fevereiro de 2018). Apesar de voláteis, aumentos expressivos na cotação das moedas, geram interesses.

Os criminosos cibernéticos usam qualquer método para gerar ou aumentar seus lucros: exemplo disso, é o surgimento do malware de mineração de criptomoedas e sua ascensão meteórica no cenário de ameaças. Como mostrado abaixo, o uso de malwares de mineração de criptomoedas aumentou expressivamente, chegando ao máximo de 116.361 ataques, em outubro de 2017, antes de estabilizar em novembro e dezembro do mesmo ano.

Outras mudanças de paradigmas ocorridas dão indícios das futuras ações dos cibercriminosos em relação à mineração de criptomoedas: exploração de ferramentas legítimas e Greyware, em especial a Coinhive, a preferida para a mineração da criptomoeda Monero e o surgimento de mineradores de criptomoedas que operam sem arquivos.

Do Bitcoin ao Monero

A Coinhive permite que usuários e empresas alternem entre plataformas de monetização por meio de um código JavaScript: ele pode ser usado na CPU de um visitante do site para minerar o Monero. A aparente comodidade e personalização deste método chamou a atenção dos cibercriminosos.

Na verdade, versões maliciosas do minerador da Coinhive foram identificadas como o 6º malware mais comum do mundo, atacando até mesmo sites oficiais de organizações americanas e britânicas, além de servidores em nuvem de empresas de alto perfil. A plataforma de mineração também pode ser disseminada por meio de malvertisements.

A moeda Monero carrega consigo um maior anonimato do que o bitcoin. Isso faz com que seja mais difícil rastrear as transações feitas através da blockchain da Monero, tais como: endereço, valor, origem e destino, remetentes e destinatários e etc.

Fileless Malware

Assim como ocorreu com o amadurecimento do ransomware, foram vistos em ação, alguns exploits e métodos de instalação de malwares sem arquivos para instalar mineradores. Por exemplo, a Coinhive observou de 10 a 20 mineradores ativos em um site, conseguem gerar um lucro de 0,3 XMR, ou seja, US$ 97 dólares (em 22 de fevereiro de 2018).

Um outro malware de mineração de criptomoedas encontrado no ano passado, usou o EternalBlue para disseminar e explorar o Windows Management Instrumentation (WMI) de forma persistente. Na realidade, o malware Adylkuzz de mineração de Monero, foi identificado como um dos primeiros a usar o EternalBlue, antes do WannaCry.

A cadeia normal de infecção de um malware minerador de criptomoedas sem arquivos, inclui carregar um código malicioso na memória do sistema. A única pegada física que indica uma infecção é a presença de um arquivo do pacote malicioso, um serviço de WMI instalado e um PowerShell executável.

Para propagação, alguns usam os exploits do EternalBlue, mas também já foram encontrados outros que usam a ferramenta Mimikatz para coletar credenciais de usuários para acessar e transformar as máquinas em pontos de mineração de Monero.

As vulnerabilidades são também uma das principais portas de entradas para o malware minerador de criptomoedas. Isto foi evidenciado pelas recentes tentativas de invasão observadas nos sistemas de gerenciamento do banco de dados Apache CouchDB. O JenkinsMiner, um Trojan remoto que também executa a função de minerador de Monero, e visa infectar servidores Jenkins, obteve um lucro de US$3 milhões de dólares em mineração de Monero.

Como bloquear malware minerador de criptomoedas

O impacto dos malwares mineradores de criptomoedas não é tão palpável ou prejudicial quanto o impacto dos ransomwares, mas isso não significa que não sejam uma ameaça. Em dezembro do ano passado, o malware Loapi de mineração de Monero em sistemas Android, mostrou que podia prejudicar o dispositivo fisicamente.

A mineração cibercriminosa de criptomoedas não compromete apenas a vida útil e o consumo de energia do dispositivo. Além disso, ela também reflete o cenário em constante evolução da tecnologia e os riscos que as ameaças podem trazer.

Os malwares mineradores de criptomoedas provavelmente vão se tornar tão diversos e comuns quanto o ransomware, usando muitas formas diferentes para infectar sistemas e até mesmo transformar suas vítimas em parte do problema. Isso mostra que precisamos adicionar mecanismos de segurança que tenham a habilidade de detectar e prevenir esse novo tipo de técnica, adotando as práticas recomendadas para empresas e usuários.

 


Texto por Felipe Costa, especialista em Segurança da Informação da Trend Micro.