Home  >  Segurança

Cryptojacking: o que é e por que você deve ficar atento

Malware de mineração de criptomoedas segue em alta. Saiba como proteger sua empresa

Michael Nadeau | CSO (EUA)

17/12/2018 às 13h28

Foto: Shutterstock

Cryptojacking é o uso não autorizado do computador de outra pessoa para minerar criptomoedas. Os hackers usam táticas para que vitimas cliquem em um link malicioso em um e-mail que carrega o código de criptografia no computador ou infectando um site ou anúncio on-line com código JavaScript que é executado automaticamente quando é carregado no navegador da vítima.

De qualquer maneira, o código de mineração de criptografia funciona em segundo plano, pois as vítimas inocentes usam seus computadores normalmente. O único sinal que podem notar é um desempenho mais lento ou atrasos na execução.

Por ele está crescendo?

Ninguém sabe ao certo quanto de criptomoeda é extraído por meio de ataques de cryptojacking, mas não há dúvida de que a prática é desenfreada. O cryptojacking baseado em navegador está crescendo rapidamente. Em novembro do ano passado passado, o Adguard reportou uma taxa de crescimento de 31% para o crypjacking em navegadores. A pesquisa encontrou 33 mil sites executando scripts de mineração de criptografia.

Em fevereiro deste ano, o Bad Packets Report encontrou 34.474 sites rodando Coinhive, o minerador de JavaScript mais popular, também usado para atividades legítimas de mineração de criptografia. Em julho, a Check Point Software Technologies informou que quatro dos dez principais malwares encontrados são mineradores de criptomoedas, incluindo dois principais: Coinhive e Cryptoloot.

“A mineração de criptomoedas está em sua infância. Há muito espaço para crescimento e evolução”, afirma Marc Laliberte, analista de ameaças da WatchGuard Technologies. Segundo ele, Coinhive é fácil de implantar e gerou US$ 300 mil em seu primeiro mês. “Ele cresceu bastante desde então. É um dinheiro fácil”.

Em janeiro, pesquisadores descobriram o botnet de mineração Smominru, que infectou mais de meio milhão de máquinas, principalmente na Rússia, Índia e Taiwan. A botnet visou servidores Windows para minerar o Monero, e a empresa de segurança cibernética Proofpoint estimou que gerou até US$ 3,6 milhões em valor a partir do final de janeiro.

Criptojacking não requer habilidades técnicas significativas. De acordo com um relatório da Digital Shadows, os kits de criptografia estão disponíveis na internet por apenas US$ 30.

A razão pela qual o crypjacking está se tornando mais popular entre hackers é a oferta de mais dinheiro com muito menos risco do que outros ataques cibernéticos. “Os hackers veem o cryptojacking como uma alternativa mais barata e mais lucrativa ao ransomware, por exemplo”, diz Alex Vaystikh, CTO e cofundador do SecBI.

Com o ransomware, um hacker pode conseguir que três pessoas paguem por cada 100 computadores infectados. Com o cryptojacking, todas as 100 máquinas infectadas trabalham para que o hacker consiga minerar a criptomoeda. “Ele pode fazer o mesmo que esses três pagamentos de ransomware, mas a mineração gera dinheiro continuamente”.

O risco de ser capturado e identificado também é muito menor do que com o ransomware. O código de criptografia é executado sub-repticiamente e pode passar despercebido por um longo tempo. Uma vez descoberto, é muito difícil rastrear a origem, e as vítimas têm pouco incentivo para fazer isso, pois nada foi roubado ou criptografado. Os hackers tendem a preferir criptomoedas anônimas como Monero e Zcash ao invés do popular bitcoin porque é mais difícil rastrear a atividade ilegal neles.

Como funciona o crypjacking

Os hackers têm duas maneiras principais de fazer com que o computador de uma vítima faça a mineração secretamente das criptomoedas. Uma delas é enganar as vítimas para que carreguem códigos criptométricos em seus computadores. Isso é feito por meio de táticas de phishing: as vítimas recebem um e-mail de aparência legítima que as incentiva a clicar em um link. Esta página maliciosa executa o código que coloca o script de criptografia no computador. O script é executado em segundo plano enquanto a vítima utiliza a máquina.

Outro método é injetar um script em um site ou um anúncio entregue a vários sites. Quando as vítimas visitam o site ou o anúncio infectado aparece em seus navegadores, o script é executado automaticamente. Nenhum código é armazenado nos computadores das vítimas. Qualquer que seja o método usado, o código executa problemas matemáticos complexos nos computadores das vítimas e envia os resultados para um servidor que o hacker controla.

Os hackers costumam usar os dois métodos para maximizar seu retorno. "Os ataques usam truques de malware antigos para fornecer software mais confiável e persistente [para os computadores das vítimas] como um recuo", explica Vaystikh. Por exemplo, de 100 dispositivos que mineram criptomoedas para um hacker, 10% podem gerar receita a partir do código nas máquinas das vítimas, enquanto 90% o fazem por meio de seus navegadores.

Ao contrário da maioria dos outros tipos de malware, os scripts de cryptojacking não causam danos aos computadores ou aos dados das vítimas. Eles "apenas" roubam recursos de processamento da CPU. Para usuários individuais, o desempenho mais lento do computador pode ser apenas um aborrecimento. A organização com muitos sistemas com cryptojacking pode incorrer em custos reais em termos de suporte técnico e tempo gasto em TI para rastrear problemas de desempenho e substituir componentes ou sistemas na esperança de resolver o problema.

Como evitar o cryptojacking

Algumas etapas ajudam a minimizar o risco da organização ser vítima deste tipo de ataque.

Incorporar a ameaça ao treinamento de conscientização de segurança, concentrando-se em tentativas do tipo phishing de carregar scripts nos computadores dos usuários. “O treinamento ajudará a protegê-lo quando as soluções técnicas falharem”, observa Laliberte. Ele acredita que o phishing continuará a ser o principal método para entregar malware de todos os tipos.

O treinamento de funcionários não ajuda na execução de criptografia de sites legítimos. "O treinamento é menos efetivo para o cryptojacking porque você não pode informar aos usuários para quais websites não ir", complementa Vaystikh.

Instalar uma extensão de bloqueio de anúncios ou anti-criptografia nos navegadores da web é outro passo essencial. Como os scripts de cryptojacking geralmente são fornecidos por meio de anúncios da Web, a instalação de um bloqueador de anúncios pode ser um meio eficaz de impedi-los. Alguns bloqueadores de anúncios, como o Ad Blocker Plus, têm alguma capacidade de detectar scripts de mineração de criptografia. Laliberte recomenda extensões como No Coin e MinerBlock, que são projetadas para detectar e bloquear scripts deste tipo.

Outra ação recomendada é usar proteção de terminal que seja capaz de detectar mineradores de criptomoedas já conhecidos. Muitos dos fornecedores de software de proteção/antivírus endpoint adicionaram a detecção de minério de criptografia aos seus produtos.

Manter as ferramentas de filtragem da web atualizadas também é outro passo recomendado. Ao identificar uma página da Web que está entregando scripts de cryptojacking, é indicado verificar que se os usuários estão bloqueados para acessá-los novamente.

Como detectar o cryptojacking

Detectá-lo pode ser difícil, especialmente se apenas alguns sistemas estiverem comprometidos. Algumas ações podem ajudar a detectar a invasão:

Treinar o help desk para procurar sinais de mineração de criptografia. Às vezes, a primeira indicação é um aumento nas reclamações do suporte técnico sobre o desempenho lento do computador. Isso deve levantar uma bandeira vermelha para investigar mais.

Outros sinais que o help desk deve procurar podem estar superaquecendo os sistemas, o que poderia causar falhas na CPU ou no ventilador, diz Laliberte. “O calor [do uso excessivo da CPU] causa danos e pode reduzir o ciclo de vida dos dispositivos”. Isso é especialmente verdadeiro em dispositivos móveis finos, como tablets e smartphones.

Implementar uma solução de monitoramento de rede. O cryptojacking é mais fácil de ser detectado em uma rede corporativa do que em casa, porque a maioria das soluções de ponto final de consumidor não o detecta. O Cryptojacking é fácil de detectar por meio de soluções de monitoramento de rede, e a maioria das organizações corporativas possui ferramentas para isso.

No entanto, poucas organizações com ferramentas de motorização de rede e dados têm as ferramentas e recursos para analisar essas informações para uma detecção precisa.

Laliberte concorda que o monitoramento da rede é a melhor aposta para detectar atividades de mineração ilegal de criptomoedas. “O monitoramento de perímetro de rede que analisa todo o tráfego da web tem uma chance melhor de detectar o  ataque”, diz ele. Muitas soluções de monitoramento detalham essa atividade para usuários individuais, para que seja possível identificar quais dispositivos são afetados.

Monitorar seus próprios sites para código de mineração de criptografia. Os hackers estão encontrando maneiras de colocar pedaços de código Javascript em servidores web. "O servidor em si não é o alvo, mas quem visita o site [arrisca a infecção]", diz ele. Ele recomenda monitorar regularmente as alterações de arquivos no servidor da Web ou as alterações nas próprias páginas.

Ficar a par das tendências do crypto jacking. Os métodos de entrega e o próprio código de criptografia estão em constante evolução, por isso, compreender o software e os comportamentos pode ajudá-lo a detectar o jack de criptografia, diz Farral. "Uma organização experiente vai ficar a par do que está acontecendo. Se você entende os mecanismos de entrega para esses tipos de coisas, você sabe que este kit de exploração específico está entregando criptografia. Proteções contra o kit de exploração serão proteções contra ser infectado pelo malware".

Como responder a um ataque de cryptojacking

Matar e bloquear scripts entregues pelo site. Para ataques de JavaScript no navegador, a solução é simples, uma vez que o cryptojacking é detectado: eliminar a guia do navegador que está executando o script. A TI deve observar o URL do website que é a fonte do script e atualizar os filtros da web da empresa para bloqueá-lo. É aconselhado considerar a implantação de ferramentas de mineração anti-criptografia para ajudar a evitar futuros ataques.

Atualizar e limpar as extensões do navegador. "Se uma extensão infectar o navegador, o fechamento da guia não ajudará. Atualize todas as extensões e remova as desnecessárias ou infectadas”, ensina Laliberte.

Aprender e adaptar. Use a experiência para entender melhor como o invasor conseguiu comprometer os sistemas. Atualize seu user, helpdesk e treinamento de TI para que eles possam identificar melhor as tentativas de cryptojacking e responder adequadamente.