O que é cryptojacking?

Definição de cryptojacking

Cryptojacking é o uso não autorizado de recursos computacionais de uma pessoa ou organização para minerar criptomoedas.

Os programas de cryptojacking podem ser malwares instalados no computador da vítima por meio de phishing, sites infectados ou outros métodos comuns de ataque de malware, ou podem ser pequenos pedaços de código inseridos em anúncios digitais ou páginas Web que só funcionam enquanto a vítima visita um site específico.

O que é criptomoeda?

Criptomoeda é uma forma de moeda que existe exclusivamente on-line, sem propriedades físicas. Tornou-se popular nos últimos anos devido ao seu anonimato e segurança. O Bitcoin foi a primeira criptomoeda, criada em 2009, e a primeira instância da tecnologia blockchain já utilizada.

Como funciona a mineração de criptomoedas?

Em uma transação financeira tradicional não monetária, um comerciante envia uma transação para um banco comercial, que a submete a um processador de pagamento, que a encaminha a um banco emissor. Ao longo do caminho, as várias partes verificam a transação em seus registros para ter certeza de que ela atende aos critérios especificados — se há dinheiro suficiente na conta, se a transação está dentro do limite de crédito do titular do cartão, se há taxa de operação, etc. — e, por fim, a transação é aprovada ou não.

Mas blockchains não envolvem livros-razão centralizados, eles são livros-razão distribuídos que existem em redes ponto a ponto, de modo que não há autoridades centralizadas para aprovar ou rejeitar uma transação. Em vez disso, cada transação é criptografada e adicionada a uma lista de transações aguardando para serem anexadas a um blockchain. Cada um desses conjuntos de listas é um “bloco” que ainda precisa ser “vinculado” ao demais blocos existentes. A vinculação de blocos a um blockchain é chamada de “mineração”.

Novos blocos precisam ser verificados, e é aí que entra a criptomineração: para evitar que pessoas manipulem o sistema ou que hackers realizem ataques de negação de serviço, é preciso haver um obstáculo que dificulte um pouco a vinculação de um bloco ao blockchain. Esse obstáculo assume a forma de quebra-cabeças matemáticos arbitrários que devem ser resolvidos antes que um bloco possa ser validado e vinculado ao blockchain em questão. O primeiro agente de mineração de criptomoeda que soluciona esse quebra-cabeças é recompensado com a criptomoeda.

Como funciona o cryptojacking?

Alguns tipos de criptomoedas são mais fáceis de minerar do que outros, e esses são os favoritos dos hackers. O Monero, por exemplo, pode ser minerado em qualquer desktop, laptop ou servidor, enquanto a mineração de Bitcoin requer hardware especializado e caro. As operações de mineração também podem ser conduzidas em dispositivos móveis, dispositivos de IoT ou em roteadores.

Os agentes de mineração de criptomoeda podem combinar um malware de cryptojacking com outros tipos de malware, como ransomware. Quando um usuário clica em um link malicioso ou abre um anexo infectado, dois programas são baixados: um programa de cryptojacking e outro de ransomware. O invasor avalia o sistema alvo com base na configuração de software, configuração de hardware e defesas antimalware instaladas, e decide se é mais lucrativo realizar um ataque cryptojacking ou um ataque de ransomware.

Ou os agentes de cryptojacking podem não instalar nenhum programa. Um pequeno trecho de código de criptomineração pode ser integrado a um site, plugin do WordPress ou anúncio, e executado automaticamente no navegador da vítima.

Outro tipo de ataque de cryptojacking ocorre na nuvem, onde o invasor primeiro rouba credenciais e depois instala seu script no ambiente invadido.

Exemplos de cryptojacking

Coinhive

O Coinhive não está mais em operação, mas vale a pena examiná-lo, porque desempenhou um papel fundamental no aumento da ameaça de cryptojacking. O Coinhive foi transmitido por um navegador da web e carregou um arquivo javascript nas páginas do usuário. O Coinhive foi o principal script de cryptojacking que existiu, até que seus operadores decidiram encerrá-lo devido a uma queda na taxa de hash ocorrida após uma bifurcação do Monero, em conjunto com uma queda no mercado de criptomoedas que tornou o cryptojacking menos lucrativo.

WannaMine v4.0

O WannaMine v4.0 e seus predecessores usam a exploit EternalBlue para comprometer hosts. Ele armazena os binários do exploit EternalBlue em um diretório no C:\Windows chamado “Network Distribution”. Esta variante do WannaMine gera aleatoriamente uma .dll e um nome do serviço com base em uma lista de strings fixadas no código. É assim que ele mantém a persistência no host.

BadShell

BadShell é um malware sem arquivo que não envolve download. Ele usa processos nativos do Windows — como PowerShell, Agendador de Tarefas e Registro — tornando-se particularmente difícil de detectar.

FaceXWorm

O FaceXWorm usa engenharia social para induzir usuários do Facebook Messenger a clicar em um link falso do YouTube. O site falso solicita que o usuário baixe uma extensão do Chrome para visualizar o conteúdo, mas o que a extensão realmente faz é sequestrar a conta do Facebook da vítima para espalhar o link dentro da sua rede de amigos. O FaceXWorm faz mais do que apenas sequestrar os sistemas do usuário para minerar criptomoedas: ele também intercepta credenciais quando o usuário tenta fazer login em sites específicos, como Google e MyMonero, redireciona o usuário ao tentar acessar plataformas legítimas de exchange de criptomoedas para uma plataforma falsa que solicita uma pequena quantia de criptomoedas como parte do processo de verificação de identidade e redireciona o usuário a outros sites maliciosos.

Black-T

O Black-T tem como alvo clientes AWS usando as APIs do daemon Docker expostas. O malware também é capaz de usar ferramentas de varredura de execução para identificar outras APIs do daemons Docker expostas, a fim de expandir ainda mais suas operações de cryptojacking.

Consequências do cryptojacking

As consequências de um ataque de cryptojacking para uma pessoa que usa seu laptop pessoal são: computador mais lento e conta de luz mais alta, mas a criptomineração em escala que mira empresas pode causar danos bem maiores. O desempenho lento prejudica a produtividade nos negócios, causa travamentos e inatividade do sistema e atrapalha as vendas e a reputação da marca, transformando servidores caros de alto desempenho em servidores caros de baixo desempenho. E, claro, os custos operacionais aumentam à medida que os recursos corporativos são desviados de seus usos pretendidos para atender às necessidades dos agentes de mineração de criptomoedas.

Além disso, a presença de software de mineração de criptomoedas na rede é um indicador de que há um problema mais sério de cibersegurança: se o hacker conseguiu que o software de cryptojacking passasse pelas defesas da empresa, ele também pode inserir outros códigos maliciosos no ambiente.

Proteção contra cryptojacking

Desafios

As equipes de segurança que têm recursos e visibilidade limitados têm dificuldade em lidar com cryptojacking, porque devem:

• Identificar o evento e entender o vetor de ataque. O uso crescente de ferramentas legítimas e o perfil de ataque sem arquivos torna isso mais difícil.
• Interromper um ataque ativo e remediar rapidamente os sistemas. Quando ocorre um incidente, as equipes de segurança devem interrompê-lo e, em seguida, corrigir os sistemas o quanto antes. Isso geralmente envolve investigação manual e reformatação de máquinas: tarefas que demandam muitos recursos.
• Aprenda com cada ataque e preencha as lacunas de segurança. Após o incidente, as equipes de segurança devem entender o que aconteceu, por que aconteceu e garantir que não aconteça novamente.

Dicas

O cryptojacking é uma ameaça à produtividade e à segurança de uma organização. Para lidar com esse risco, as organizações precisam:

• Praticar uma rigorosa higiene de segurança. A higiene de TI é fundamental para a segurança. A instalação periódica de correções nos SOs e nas aplicações vulneráveis, bem como a proteção das contas de usuários com altos privilégios são práticas essenciais para uma postura de segurança ideal.
• Capacite seus funcionários. Garanta que todos os funcionários concluam um treinamento abrangente sobre a importância de manter dados confidenciais seguros, práticas recomendadas para evitar cryptojacking e um entendimento completo sobre as diferentes maneiras pelas quais os ciber ataques podem acontecer.
• Implemente uma plataforma de proteção de endpoint (EPP) verdadeiramente de última geração. A organização deve estar preparada para detectar e evitar todas as ameaças, incluindo malware conhecido e desconhecido, bem como identificar ataques em memória. Isso requer uma solução que inclua proteção antivírus de última geração, bem como detecção e resposta de endpoint (EDR), para evitar ataques e obter visibilidade total no ambiente.

De acordo com a Gartner, defender-se efetivamente contra ameaças ao seu endpoint significa implementar uma solução que tenha capacidades de NGAV e ERD. A plataforma CrowdStrike Falcon® é uma solução de EPP verdadeiramente de última geração, projetada para detectar indicadores comportamentais do ataque (IOAs), independentemente de o malware se instalar no disco ou executar apenas em memória.