Cryptojacking: O que é ? como se proteger ?

Cryptojacking: O que é ? como se proteger ? Cryptojacking é definido como o uso secreto do seu dispositivo de computação para minerar cryptocurrency. Cryptojacking costumava ser confinado à vítima, que sem saber, instalava um programa que secretamente minera criptomoedas.

Em outras palavras Cryptojacking é o uso não autorizado de um computador, tablet, telefone celular ou dispositivo doméstico conectado, por cibercriminosos para mineração de criptomoedas.

O que é criptomoedas ou cryptocurrency?

Para aqueles que não estão familiarizados com essa terminologia relativamente nova, a criptomoeda é uma forma de moeda digital que pode ser usada em troca de bens, serviços e até dinheiro real. Os usuários podem “minerar” em seu computador usando programas especiais para resolver equações matemáticas complexas e criptografadas, a fim de ganhar uma parte da moeda.

O uso e valor monetário de Bitcoin, Litecoin, Ethereum e muitos outros dispararam em todo o mundo. O aumento no poder de compra e liquidez está impulsionando as valorizações, bem como a volatilidade, maior do que nunca. Naturalmente, onde há lucros, o crime não fica muito atrás. Os cibercriminosos se aperfeiçoaram em uma oportunidade altamente lucrativa, usando um processo de computação distribuída para produzir criptomoeda – um processo conhecido como “mineração”.

A mineração por criptomoeda é um processo intensivo de recursos para autenticar transações em troca de uma recompensa de criptomoeda. Embora a mineração em si seja legal, comprometer sistemas fraudulentos para realizar o trabalho não é. Nos últimos meses, o CrowdStrike notou um aumento nos ataques cibernéticos focados em ferramentas de mineração criptografada que comandam ciclos de CPU disponíveis, sem autorização, para ganhar dinheiro.

As ferramentas de mineração fizeram com que sistemas e aplicativos travassem devido a essas altas velocidades de utilização da CPU

Embora a mineração com criptomoeda tenha sido vista como um incômodo, a CrowdStrike viu recentemente vários casos em que a mineração afetou as operações comerciais, tornando algumas empresas incapazes de operar por dias e semanas de cada vez. As ferramentas de mineração fizeram com que sistemas e aplicativos travassem devido a essas altas velocidades de utilização da CPU.

Além disso, o CrowdStrike observou recursos mais sofisticados incorporados em um worm cryptomining chamado WannaMine. Essa ferramenta alavanca mecanismos de persistência e técnicas de propagação similares àquelas usadas por atores de estado-nação, demonstrando uma tendência destacada no Casebook 2017 do CrowdStrike Cyber ​​Intrusion Services, que afirma que “os ataques contemporâneos continuam a confundir as linhas entre as táticas de estado nacional e eCrime. .

Por que o crypjacking está crescendo?

É difícil explicar como as criptomoedas ganham valor monetário; no entanto, baseia-se em parte no princípio da oferta e demanda e na dificuldade de obter a criptomoeda. Por exemplo, há apenas um número finito de Bitcoins que não foram completamente extraídos. Existem outras variáveis, como a facilidade de uso da moeda, a energia e o equipamento investidos na mineração e muito mais.

Por essas e outras razões, a criptomoeda flutuou em valor nos últimos anos. Em 2010, um Bitcoin foi definido em menos de 1 centavo. Antes do final de 2017, o valor subiu para quase US $ 20.000 por bitcoin. Em junho de 2018, algumas criptomoedas equivalem a até US $ 6.750,83 por unidade.

De acordo com o Relatório de Ameaças à Segurança na Internet da Symantec, o uso de criptografia também disparou em 2017.

Em certo sentido, o cryptojacking é uma forma de os cibercriminosos ganharem dinheiro com o mínimo de esforço. Os cibercriminosos podem simplesmente sequestrar a máquina de outra pessoa com apenas algumas linhas de código. Isso deixa a vítima arcar com o custo dos cálculos e da eletricidade necessários para a minerar criptomoedas.

A Symantec reporta que perto do final de 2017, quando o valor da criptomoeda estava no auge, havia cerca de 8 milhões de eventos de mineração de moedas bloqueados. Como o cryptojacking pode gerar resultados lucrativos, a atividade de mineração de moedas aumentou em 34.000% ao longo do ano.

Estas são as más notícias …

O crypjacking no navegador não precisa de um programa para ser instalado. O cryptojacking no navegador usa JavaScript em uma página da web para mineração de criptomoedas. O JavaScript é executado em praticamente todos os websites que você visita, portanto, o código JavaScript responsável pela mineração no navegador não precisa ser instalado.

Como funciona o cryptojacking ?

Mineração de moeda por conta própria pode ser um esforço longo e caro. Contas de eletricidade elevadas e equipamentos de informática caros são grandes investimentos e principais desafios para a mineração de moedas. Quanto mais dispositivos você tiver trabalhando para você, mais rápido você poderá “minerar” moedas. Por causa do tempo e dos recursos que entram na mineração de moedas, o uso da cryptojacking é atraente para os cibercriminosos.

Existem algumas maneiras pelas quais o cryptojacking pode ocorrer. Uma das formas mais populares é usar e-mails maliciosos que podem instalar o código de criptografia em um computador. Isso é feito por meio de táticas de phishing. A vítima recebe um email aparentemente inofensivo com um link ou anexo. Ao clicar no link ou baixar o anexo, ele executa um código que baixa o script de cryptojacking no computador. O script funciona em segundo plano sem o conhecimento da vítima.

Outro é conhecido como um minerador de navegador da web. Nesse método, os hackers injetam um script de criptografia em um site ou em um anúncio que é colocado em vários sites. Quando a vítima visita o site infectado ou o anúncio malicioso aparece no navegador da vítima, o script é executado automaticamente. Nesse método, nenhum código é armazenado no computador da vítima, estes são classificados dentro da categorias de malwares fileless , já explicado aqui no blog no artigo O que são ataques Fileless.

fonte: hackernoon
  1. O agente de ameaça compromete um site
  2. Os usuários se conectam ao site comprometido e o script de mineração de criptografia é executado
  3. Os usuários inadvertidamente começam a mineração de criptomoeda em nome do ator de ameaça
  4. Após adicionar com sucesso um novo bloco ao blockchain, o ator de ameaça recebe uma recompensa em moedas de criptomoeda

Em ambos os casos, o código resolve problemas matemáticos complexos e envia os resultados para o servidor do hacker, enquanto a vítima não está completamente ciente.

Se você acha que não é nada, pense novamente …

Criptojacking em ação

O WannaMine emprega técnicas de “living off the land”, como assinaturas do Windows Management Instrumentation (WMI) com um evento permanente como se fosse um mecanismo de persistência. Ele também se propaga através da exploração EternalBlue popularizada pelo WannaCry. Sua natureza sem arquivos, fileless e o uso de softwares de sistema legítimos, como o WMI e o PowerShell, dificultam, se não impossibilitam, que as organizações o bloqueiem sem algum tipo de antivírus de próxima geração como o CrowdStrike.

O WannaMine, relatado pela primeira vez pela PandaSecurity, é um minerador de criptomoedas da Monero que sequestra os ciclos de CPU de um sistema. Esse malware sem arquivo aproveita táticas e técnicas avançadas para manter a persistência em uma rede e mover-se lateralmente de um sistema para outro. Primeiro, o WannaMine usa as credenciais adquiridas com o harvester Mimikatz para tentar propagar e mover-se lateralmente com credenciais legítimas. Se não obtiver sucesso, o WannaMine tentará explorar o sistema remoto com a exploração EternalBlue usada pelo WannaCry no início de 2017.

Os malwares Cryptojacking podem ser encontrados em várias plataformas e dispositivos, incluindo Macs®, já que esses ataques podem ser executados em um navegador. Curiosamente, o segundo tipo mais comum de malware para Mac é um aplicativo de mineração de criptomoedas furtivo.

Em setembro de 2017, um usuário no Twitter apontou que alguns dos sites de streaming on-line da Showtime tinham um script rodando em segundo plano que era usado para minar a criptomoeda. Em fevereiro de 2018, um pesquisador encontrou código de cryptojacking malicioso no site do Los Angeles Times.

Como detectar e prevenir o cryptojacking

Como acontece com qualquer outra infecção por malware, existem alguns sinais de que você pode perceber por conta própria.

Sintomas de crypjacking

  • Alto uso do processador no seu dispositivo
  • Tempos de resposta lentos ou incomumente lentos
  • Superaquecimento do seu dispositivo
  • Verificando o gerenciador tarefas observa-se alto consumo de CPU em processo não reconhecido

Além de possui um antivírus como o CrowdStrike, fortalecer os controles de acesso. Os administradores de TI devem sempre aplicar o princípio do menor privilégio para sistemas e aplicativos; não forneça acesso a qualquer usuário que não precise dele. Além disso, os serviços de autenticação de dois fatores são aconselháveis ​​para todos os serviços que são acessíveis externamente.

Aperte a segurança do dispositivo. O malware Cryptomining também atinge terminais, como PCs e smartphones, para coletar ciclos de milhares de dispositivos individuais. Manter os sistemas atualizados e os sistemas operacionais atualizados e instalar o software antivírus como da CrowdStrike são todos bons lugares para começar.

Identifique os serviços inativos. A nuvem torna mais fácil para os desenvolvedores criar novos aplicativos rapidamente, mas também é fácil deixar os serviços desnecessários em execução, que se tornam veículos para ataques. Identifique esses serviços e desligue-os.

Sites de bloqueio. Em dezembro, descobriu-se que um grande aumento nos ataques de força bruta em sites do WordPress estava ligado a um ataque de mineração de criptografia. Proteger seu site é vital para proteger não apenas sua organização, mas também seus clientes.

Com o constante aumento do valor e da popularidade das criptomoedas, provavelmente veremos mais hackers pulando no trem do cryptojacking. Até agora, os ataques não parecem ter causado grandes perturbações nos serviços públicos, mas a recente onda de ataques deve ser um alerta para as empresas.

fonte: Symantec & SC Magazine & Hackerbits & CrowdStrike & Hackernoon
Por Kleber Melo - Sócio Consultor da MindSec Segurança e Tecnologia da Informação Ltda.

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!