O que são criptomineradores maliciosos e como se proteger?
O uso não autorizado do computador de uma pessoa para criar novos blocos de criptomoedas (moedas digitais baseadas em blockchain, como Monero e Bitcoin) é chamado de “Criptojacking”. Resumidamente, os cibercriminosos sequestram a capacidade de processamento de máquinas pessoais e corporativas para aumentar drasticamente as chances de obter uma mineração de criptomoeda bem-sucedida. Ataques em grande escala também têm como alvo redes e servidores, visando várias máquinas ao mesmo tempo.
As duas formas mais comuns para se fazer isso são as seguintes: os cibercriminosos induzem a vítima a clicar em um link malicioso em um e-mail que carrega o código de criptografia no computador ou em um site/anúncio online infectados com o código JavaScript que é executado automaticamente quando carregado no navegador, sem a necessidade de instalar nenhum software.
Após a infecção pelo malware de mineração de criptomoedas, o código de criptomineração funciona em segundo plano, enquanto a vítimas usa seu computador normalmente. Apesar de ser quase imperceptível, é possível notar alguns sinais da infecção como lentidão na máquina, desempenho visivelmente reduzido, superaquecimento e/ ou aumento da atividade do ventilador (e, portanto, ruído perceptível) e esgotamento da bateria de forma rápida.
Os criptomineradores maliciosos estão em alta e têm se transformado em ataques cada vez mais sofisticados e lucrativos. Em nosso Internet Security Report para o quarto trimestre de 2020, o Threat Lab revelou que o volume de detecções de malware criptominerador subiu mais de 25% em relação aos níveis de 2019. Essa alta se deve porque esses ataques são mais lucrativos e de menores riscos se comparados a outros tipos.
Exemplos notáveis de ataque de criptojacking em grande escala
Um dos casos mais notáveis de cryptojacking foi a CoinHive. O serviço da Coinhive foi lançado em 2017 como uma forma de minerar criptomoedas no fundo de um site, transformando o poder de processamento dos visitantes diretamente em dinheiro. Alguns sites foram francos com os visitantes sobre o uso do software, principalmente o site de notícias Salon e UNICEF, mas inúmeros outros não divulgaram o fato de que o estavam usando ou viram o código Javascript adicionado sem seu conhecimento como parte de um Ataque de malware "Cryptojacking". Eventualmente, os bloqueadores de anúncios e o software antivírus aprenderam a identificar e bloquear esse código, de modo que os usuários pudessem evitar que suas CPUs fossem usadas e suas baterias descarregadas pelo software.
Outro destaque ocorreu em fevereiro de 2019, quando um vírus chamado CookieMiner foi lançado contra os produtos da Apple. Como o próprio nome explica, o malware tem como objetivo rastrear os cookies de navegação, obtendo informações como, senhas salvas no navegador, em mensagens salvas nos backups do iTunes, por exemplo, e usando esses dados para roubar criptomoedas das vítimas. Adicionalmente, o CookieMiner ainda instala software de mineração em Macs sem a autorização do usuário, transformando seus dispositivos em máquinas de mineração.
Como evitar o criptojacking?
No mundo atual da segurança da informação, não existe uma solução mágica, mas sim um conjunto de medidas de proteção. A proteção contra ataques de cryptojacking começa com conscientização, detecção e prevenção. De nada adianta a sua organização ter todos os equipamentos de última geração se quando chegar a vez dos colaboradores, eles cometerem falhas básicas de segurança.
Dito isso, o primeiro passo é estar atento às vulnerabilidades, visto que o malware de criptominação, geralmente, depende de explorações de vulnerabilidades, especialmente em servidores. Instale atualizações e patches de software mais recentes para o seu sistema operacional e todos os aplicativos, especialmente aqueles relacionados aos navegadores da web.
Outra porta de entrada do cryptojacking, e uma das mais eficazes, é por meio de tentativas do tipo phishing de carregar scripts nos computadores dos usuários. Portanto, é fundamental o treinamento de conscientização de segurança para colaboradores em uma organização.
Adicionalmente, utilize soluções de segurança confiáveis em todos os dispositivos, incluindo terminais públicos, dispositivos IoT e qualquer outro equipamento com uma conexão à Internet. Instale extensões de navegador projetadas para bloquear a extração de moedas e bloqueadores de anúncios mais voltados para a privacidade.
E por último, mas não menos importante é implementar uma solução eficaz de monitoramento da rede corporativa. O monitoramento de perímetro de rede que analisa todo o tráfego da web tem uma chance melhor de detectar o ataque. Muitas soluções de monitoramento detalham essa atividade para usuários individuais, para que seja possível identificar quais dispositivos são afetados.