Segurança > Ciberguerra

Cryptojacking: como detectar e evitar o malware de mineração de criptomoedas

Dano causado pelo ataque é real, mas nem sempre é óbvio. Saiba como se proteger

04 de Abril de 2018 - 14h36

Hackers estão se voltando para o cryptojacking - infectando a infraestrutura corporativa com software de mineração de criptomoedas - para ter um fluxo de receita estável, confiável e contínuo. Como resultado, eles estão ficando muito espertos em esconder seu malware.

Relatório da Symantec, por exemplo, aponta que a nova ameaça registrou aumento de 8.500% em 2017, em relação ao ano anterior.

O fato é que as empresas estão muito atentas a quaisquer sinais de dados críticos sendo roubados ou criptografados em um ataque de ransomware. Mas o cryptojacking é mais furtivo e pode ser difícil para as empresas detectarem. O dano causado é real, mas nem sempre é óbvio.

O dano pode ter um impacto financeiro imediato se o software infectar a infraestrutura em nuvem ou aumentar a conta de eletricidade. Também pode prejudicar a produtividade e o desempenho ao deixar máquinas mais lentas.

"Com CPUs que não são feitas especificamente para a mineração de criptomoedas, isso pode ser prejudicial para o seu hardware", alerta Carles Lopez-Penalver, analista de inteligência da Flashpoint.

O criptojacking está nos estágios iniciais. Se uma empresa detectar um tipo de ataque, haverá quatro ou cinco outros que sobreviverão. "Se há algo que poderia potencialmente impedir os mineradores de criptografia, seria algo como uma rede neural bem treinada", diz Lopez-Penalver.

É exatamente o que alguns fornecedores de segurança estão fazendo - usando o aprendizado de máquina e outras tecnologias de inteligência artificial (AI) para identificar os comportamentos que indicam a mineração de criptomoedas, mesmo que esse ataque em particular nunca tenha sido visto antes.

Defesa

Muitos fornecedores estão trabalhando na detecção da atividade de mineração de criptomoedas no nível da rede. "Detecção [no endpoint] agora é muito complicado", diz Alex Vaystikh, CTO da SecBI Ltd. "Pode ser em qualquer coisa, desde dispositivos móveis até IoT, laptops, desktops e servidores. Pode ser intencional ou não intencional. É extremamente amplo."

Todo malware de cryptojacking tem um aspecto comum, diz Vaystikh. "Para minerar qualquer criptomoeda, você deve ser capaz de se comunicar, receber novos hashes e, depois de calculá-los, devolvê-los aos servidores e colocá-los na carteira correta. "Isso significa que a melhor maneira de detectar a mineração de criptomoedas é monitorar a rede em busca de atividades suspeitas."

Infelizmente, o tráfego de criptografia pode ser muito difícil de distinguir de outros tipos de comunicação. As mensagens reais são muito curtas e os criadores de malware usam uma variedade de técnicas para ofuscá-las. "É extremamente difícil escrever uma regra para algo assim", diz Vaystikh. "Assim, muitas empresas não conseguem detectá-lo. Quase todas as organizações acima de 5 mil funcionários já têm os dados - o único problema é que é muito difícil repassar a enorme quantidade de dados que eles têm", aponta.

A tecnologia de investigação autônoma da SecBI lida com esse problema usando machine learning para procurar padrões suspeitos no vasto mar de dados que passam pelas redes corporativas. Existem milhares de fatores que o SecBI analisa, diz Vaystikh. Por exemplo, o tráfego de criptografia é periódico, embora os criadores de malware tentem disfarçar a natureza regular da comunicação, por exemplo, randomizando os intervalos.

A mineração de criptomoedas também tem um tamanho de mensagem incomum. O tráfego de entrada, o hash, é curto. Os resultados de saída são ligeiramente mais longos.

Mesmo se o tráfego for criptografado - e agora 60% de todo o tráfego da rede é - a periodicidade das comunicações, os comprimentos das mensagens e outros indicadores sutis se combinam para ajudar o sistema a identificar as infecções. De fato, quando a mineração de criptomoeda apareceu pela primeira vez, a plataforma do SecBI sinalizou como possivelmente maliciosa antes mesmo de saber o que era. "Agora, depois que nossos usuários olharam para o site, eles disseram: 'Ah, é uma mineração de criptomoedas!' e o software agora classifica corretamente também ", diz Vaystikh.

Nos últimos meses, o sistema SecBI aprendeu a detectar o cryptojacking, classificá-lo corretamente e até mesmo tomar ações corretivas imediatas. "Por exemplo, você pode emitir automaticamente uma nova regra para o firewall para isolar esse tráfego e bloqueá-lo", diz Vaystikh.

Nem todo mundo vai optar por automatizar essa resposta, acrescenta. Por exemplo, um site legítimo pode ter sido invadido. "Nossa tecnologia tem a capacidade de recomendar a melhor solução - recriar a imagem da máquina ou bloquear o destino - e o cliente pode escolher qual é o melhor curso de ação nesse caso específico."

Outro fornecedor de segurança que está analisando o tráfego de rede para detectar possíveis atividades de mineração de criptografia é o Darktrace, com sua tecnologia Enterprise Immune System. "Temos detecção de anomalias no nível da rede e podemos capturar desvios sutis em qualquer um dos seus computadores", diz Justin Fier, diretor de inteligência e análise cibernética da empresa. "Se o seu computador está acostumado a fazer o 'XYZ' e, de repente, ele começa a fazer algo que nunca vimos antes, é fácil identificá-lo. Quando ele começa a acontecer em milhares de computadores, é ainda mais fácil."

Não são apenas os computadores que estão vulneráveis - qualquer coisa com ciclos de computação pode ser usado para esse fim, diz Fier. "Estamos cercados por tantas coisas com um endereço IP que está conectado à internet, que pode ser conectado para fazer um supercomputador a minha criptomoeda. Um termostato não vai realmente produzir nada, mas quando você o reúne em um grande piscina mineira, cem mil deles, é o suficiente para fazer a diferença."

Outra plataforma que não causa muito impacto isoladamente, mas pode resultar em algum dinheiro sério, é a ferramenta de criptomining baseada em navegador, como o Coinhive. A ferramenta de mineração de criptografia é executada em JavaScript e é carregada por sites infectados ou, às vezes, por sites em que os proprietários deliberadamente decidem arrecadar dinheiro sequestrando as máquinas de seus visitantes.

"Um ou dois computadores podem não ser importantes, mas se você tiver milhares de computadores, começará a afetar os recursos e a largura de banda da corporação", diz Fier. "Certas corporações podem até não ter permissão legal para minar criptomoedas por várias razões regulatórias."

Uma maneira garantida de se defender contra o cryptojacking baseado em navegador é desativar o JavaScript. Essa é uma opção nuclear, pois o JavaScript é usado para fins legítimos em toda a web. O software antivírus também pode bloquear alguns ataques baseados em navegador, diz Troy Mursch, pesquisador de segurança do Bad Packet Report, incluindo Malwarebytes, ESET, Avast, Kaspersky e Windows Defender.

Endpoint

Outra abordagem para detecção de cryptojacking é proteger o endpoint. De acordo com Tim Erlin, vice-presidente de gerenciamento e estratégia de produtos da Tripwire, os atacantes podem escapar das defesas baseadas em rede usando criptografia e canais de comunicação menos visíveis. "A maneira mais eficaz de detectar a mineração por criptomoeda é diretamente no terminal", diz ele. "Por isso, é vital monitorar efetivamente os sistemas para alterações e determinar se eles estão autorizados ou não."

Em particular, a tecnologia de proteção de endpoints tem de ser inteligente o suficiente para capturar ameaças anteriormente desconhecidas, não apenas bloquear atividades ruins conhecidas, diz Bryan York, diretor de serviços da CrowdStrike, um fornecedor de proteção de terminais. Isso não se limita apenas ao malware executável, acrescenta. "Os atacantes agora estão usando linguagem de script, aproveitando o software que é legitimamente usado em seus computadores e sistemas e usando-o de maneira ilegítima".

O CrowdStrike funciona em dispositivos tradicionais de endpoint, como desktops de funcionários, mas também em máquinas virtuais baseadas em nuvem. "Tivemos alguns casos em que o software de mineração de criptomoedas foi instalado em ambientes de nuvem, como as instâncias do AWS EC2", diz. "Adotamos uma abordagem semelhante para impedir isso. Há também um aspecto único, e isso é entender como ele chegou lá. Para entender isso, você precisa usar os dados de log da API que estão disponíveis na AWS. Isso torna essas investigações um pouco mais desafiador, mas um pouco mais interessante".

Ameaça interna

Quando o software é deliberadamente instalado por um usuário legítimo, detectá-lo é ainda mais desafiador, diz York. "Acabei de ter um caso há algumas semanas, uma investigação com um insider desonesto, um funcionário descontente", diz York. "Ele decidiu que a implantação de software de criptografia em todo o ambiente seria parte de sua saída e uma maneira de mostrar seu desprezo pela empresa."

O que tornou isso particularmente difícil foi que o informante estava ciente de como sua empresa estava detectando a mineração de criptomoedas e impedindo sua disseminação. "Ele começou a nos pesquisar e ler alguns dos artigos que foram publicados", diz York. "Nós os encontramos em sua história do navegador da Web. Ele estava ativamente tentando nos subverter."

As políticas corporativas podem não proibir especificamente os funcionários que executam operações de mineração de criptomoedas usando recursos corporativos, mas a criação de tal operação provavelmente será arriscada para um funcionário. "O projeto vai aparecer e você será demitido", diz Steve McGregory, diretor sênior de pesquisa e inteligência de ameaças do Ixia. "Então, esse provavelmente seria um esquema de curta duração, mas se você tivesse a capacidade de controlar os registros, um funcionário mal-intencionado poderia ganhar um centavo decente ao lado por algum tempo."

As instituições de ensino são particularmente vulneráveis, acrescentou. "Muitas das pessoas que vêm até nós pedindo ajuda são universidades", diz McGregory. "Os estudantes estão apenas conectando o sistema ASIC [crypto mining] no dormitório e aumentando a conta de luz. A universidade está pagando a conta, então isso custa. Os estudantes não entraram ilegalmente no sistema".

Os funcionários também podem ligar seus próprios equipamentos, e pode ser difícil identificar a causa real de um pico em uma conta de luz. "Eles provavelmente o encontrariam andando e vendo qual era a área mais quente", sugere McGregory.

Os insiders de confiança também podem usar máquinas virtuais na AWS, no Azure ou no Google Cloud, fazer seus cálculos e depois desativá-los rapidamente antes que alguém perceba, diz Robert McNutt, vice-presidente de tecnologia emergente da ForeScout. "Esse é o risco real que as organizações devem pensar, já que é muito mais difícil de detectar, e para algumas pode ser muito lucrativo, tornando-se algo que pode se tornar mais comum", diz.

Os invasores externos com credenciais roubadas também poderiam fazer isso, acrescenta. Na verdade, a Amazon agora oferece instâncias do EC2 com GPUs, o que torna a mineração de criptografia mais eficiente, diz McNutt. Isso torna ainda mais caro para a empresa pagar a conta.