/ O que é cryptojacking?
O que é cryptojacking?
Cryptojacking é um tipo de ataque cibernético em que um criminoso cibernético sequestra um computador ou dispositivo móvel e usa sua potência de processamento para minerar criptomoedas como bitcoins. O malware de cryptojacking é difícil de detectar, mas pode ter consequências graves para as empresas, como lentidão no desempenho, aumento dos custos de energia elétrica e danos ao hardware devido a superaquecimento.
Como funciona o cryptojacking?
O Cryptojacking usa malware ou código malicioso para comandar a potência de processamento dos dispositivos das vítimas (laptops, computadores desktop, smartphones, etc.) para uso na mineração de criptomoedas.
Vejamos como é a evolução de um ataque de cryptojacking.
- Geração/infecção: geralmente, os invasores obtêm um código de criptomineração que é executado no dispositivo da vítima, por meio de golpes de engenharia social, como phishing e páginas web maliciosas, entre outros. Sites e serviços na nuvem que são comprometidos com código de criptomineração podem aspirar de forma silenciosa a capacidade computacional dos usuários enquanto permanecem conectados.
- Execução: os scripts de criptomineração são executados em um dispositivo comprometido, usando sua CPU ou GPU para solucionar quebra-cabeças criptográficos difíceis. O dispositivo muitas vezes se torna parte de uma botnet que combina o poder computacional de muitos terminais infectados para dar ao minerador uma vantagem na corrida do blockchain.
- Lucro: o minerador cujos esforços computacionais (legitimamente próprios ou não) resolvem o quebra-cabeça criptográfico primeiro recebe a “recompensa em bloco”, uma cota de criptomoeda enviada para sua carteira digital. Enquanto isso, as vítimas de cryptojacking não recebem nenhuma recompensa; e acabam pagando indiretamente por isso.
Ao contrário do ransomware, que chama a atenção como uma etapa fundamental de um ataque, o software de cryptojacking é executado da forma mais silenciosa possível para aumentar a vida útil e a lucratividade do ataque. Ele pode usar técnicas de criptografia e anti-análise para escapar de soluções básicas de detecção de ameaças cibernéticas, limitar ou pausar o uso da CPU dependendo da atividade do usuário e mais para evitar levantar suspeitas.
O que é criptomoeda?
Criptomoeda é uma moeda digital desenvolvida com tecnologia de banco de dados digital descentralizada chamada blockchain, em que todas as transações são vinculadas criptograficamente, tornando-a altamente estável e segura. Embora tenha muitos usos legítimos, os hackers valorizam a criptomoeda porque ela pode ser negociada sem o uso de uma identidade real.
A criptomoeda é criada por meio da criptomineração, que utiliza grandes quantidades de recursos computacionais para resolver problemas matemáticos complexos que validam transações de blockchain e criam novos blocos. Quando uma solução é alcançada, o minerador responsável recebe a moeda recém “cunhada”.
Quais são as fontes de malware de cryptojacking?
O malware de cryptojacking é muito parecido com outros tipos de malware em termos de onde pode aparecer em livre circulação. Na maioria das vezes, ele pode ser encontrado em conexão com:
- Sites, plug-ins ou extensões de navegador comprometidos injetados com código malicioso
- Mineração baseada em navegador ou “drive-by” em sites que não são inerentemente maliciosos
- Downloads maliciosos disfarçados de software benigno, principalmente aplicativos ou torrents gratuitos
- E-mails de phishing contendo anexos infectados ou que levam a sites maliciosos
- Anúncios maliciosos contendo scripts de cryptojacking executados quando o anúncio é clicado ou visualizado
O que o malware de cryptojacking significa para sua empresa?
A nível organizacional, o custo diário do cryptojacking talvez não chame muito a atenção. No entanto, esse custo pode rapidamente chegar a centenas ou até milhares de dólares por mês, sem falar do potencial para causar:
- Desempenho degradado do sistema, o que pode frustrar e diminuir a velocidade dos usuários, afetando a produtividade
- Faturas e uso de energia elétrica mais elevados, o que pode prejudicar os resultados financeiros e as metas ambientais
- Danos ao hardware de computação, o que pode gerar custos imprevistos de manutenção e substituição
Exemplos de cryptojacking do mundo real
Apesar dos riscos, nenhum ataque de cryptojacking alcançou a notoriedade global de ataques à cadeia de suprimentos e ransomware como o WannaCry ou o ataque à SolarWinds. Ao contrário desses ataques, a forma silenciosa e discreta de operar do cryptojacking é o que o torna perigoso. Vejamos alguns exemplos.
Botnet Smominru
Desde 2017, o Smominru infectou centenas de milhares de sistemas Microsoft Windows em todo o mundo para minerar a criptomoeda Monero. Ele se espalha forçando credenciais de RDP e explorando vulnerabilidades de software, e pode até executar ransomware, trojans e outros em sistemas comprometidos.
The Pirate Bay
Em 2018, descobriu-se que o site de compartilhamento de arquivos P2P The Pirate Bay estava executando código JavaScript criado pelo agora extinto serviço de criptomineração Coinhive. O script de cryptojacking era executado sem o consentimento dos usuários e sem possibilidade de cancelamento enquanto navegavam no site, usando seu poder computacional para minerar Monero.
Graboid
Descoberto pela primeira vez em 2019, o Graboid é um worm que explora contêineres do Docker desprotegidos (ou seja, expostos à internet). Ele se espalha de hosts comprometidos para outros contêineres em suas redes, onde sequestra os recursos de sistemas infectados para minerar Monero.
Bibliotecas de imagens de código aberto
A partir de 2021, pesquisadores observaram um aumento no número de imagens de cryptojacking em repositórios de código aberto como o Docker Hub. No final de 2022, a característica mais comum entre as imagens maliciosas era o código de cryptojacking (Equipe de Ação de Segurança Cibernética do Google de 2023).
Por que tanto Monero?
O Monero é popular no crime cibernético porque suas transações são anônimas e publicamente invisíveis, ao contrário das moedas que usam registros transparentes, como o Bitcoin.
Sinais de que você pode ter sido vítima de cryptojacking
Os ataques de cryptojacking são discretos para prolongar o uso não autorizado do sistema, mas se você souber o que procurar, poderá identificar suas atividades antes que o custo para você ou sua empresa fique muito alto. Durante as operações de mineração, pode-se notar:
- Problemas de desempenho, como lentidão, congelamento, travamento ou temperaturas operacionais mais altas
- Alta utilização da CPU/GPU, mesmo com muito pouca execução (verifique o Gerenciador de Tarefas do Windows ou o Monitor de Atividade do macOS)
- Uso de energia alto ou em pico sem causa legítima aparente
- Tráfego de rede incomum, como comunicações de saída frequentes ou grandes transferências de dados para locais desconhecidos
- Processos desconhecidos ou suspeitos ocultos entre os processos legítimos em segundo plano do sistema
Táticas evasivas
O malware de cryptojacking pode ser capaz de alterar dinamicamente sua estrutura de código, usar técnicas anti-análise e sem arquivo e aproveitar a infraestrutura distribuída de comando e controle para evitar a detecção por ferramentas tradicionais, como antivírus básicos.
Como você pode detectar e prevenir o cryptojacking?
Além dos sinais de alerta comuns, você pode implementar algumas tecnologias e estratégias simples para ajudar a evitar que ataques de cryptojacking se instalem em seu ambiente; ou para interrompê-los antes mesmo que se instalem.
- Eduque os usuários e as equipes sobre os sinais de alerta. Os usuários podem não relatar problemas, como baixo desempenho, se não entenderem o que isso pode indicar. Para as equipes de TI, suporte técnico e NetOps, a evidência de processos de mineração não autorizados é algo importante a ser levado em consideração ao investigar e responder aos relatos.
- Encontre evidências ocultas com a caça proativa a ameaças. Os sinais mais claros de atividade de cryptojacking podem não ocorrer onde seus usuários possam vê-los. Profissionais de segurança qualificados ou caçadores de ameaças dedicados podem trabalhar para identificar e investigar anomalias comportamentais e outros indicadores sutis de comprometimento por cryptojacking.
- Use ferramentas eficazes para monitorar e bloquear o tráfego de criptomineração. A melhor maneira de impedir o cryptojacking é evitar que ele comece. Para fazer isso, você precisa de uma solução que garanta que cada pacote de cada usuário, dentro ou fora da rede, seja totalmente inspecionado do início ao fim, com capacidade ilimitada de inspeção em TLS/SSL. A Zscaler pode ajudar.
Zscaler Cryptojacking Protection
O Zscaler Internet Access™ (ZIA™), um componente central e nativo da nuvem da Zscaler Zero Trust Exchange, oferece proteção sempre ativa contra cryptojacking, além de ransomware, ameaças de dia zero e malware desconhecido, como parte do conjunto Advanced Threat Protection com IA.
A política pré-estabelecida no ZIA, ativa desde o momento da implantação, permite bloquear automaticamente o tráfego de criptomineração e gerar alertas opcionais. O ZIA pode detectar tráfego de criptomineração à medida que passa pela Zero Trust Exchange, mesmo que esteja criptografado.
O ZIA oferece:
- Prevenção integrada completa. A arquitetura de proxy integrada é a única maneira confiável de colocar em quarentena e bloquear conteúdo suspeito e ataques em escala corporativa.
- Sandbox e ML integrados. A Zscaler Sandbox usa ML integrado para análise avançada e bloqueio rápido de ataques novos e evasivos baseados em arquivos.
- Inspeção de SSL sempre ativa. Distribuída em uma plataforma global, você obtém inspeção de SSL infinita que sempre segue os usuários, dentro e fora da rede.
- O efeito da nuvem da Zscaler. Utilizamos dados de ameaças da maior nuvem de segurança do mundo, que processa mais de 300 bilhões de transações por dia e dezenas de feeds de ameaças externas, para compartilhar proteções contra ameaças em todo o mundo em tempo real.