O malware de mineração de criptomoedas será o novo ransomware? A popularidade do Bitcoin (e outras criptomoedas em geral) e o aumento da sua utilização no mundo real começaram a chamar a atenção dos cibercriminosos. Tanto que vem se tornando tão famosas quanto os ransomwares no cenário de ameaças. Para se ter uma ideia, a mineração das criptomoedas foi, durante o ano de 2017, o evento com o maior número de detecções em dispositivos conectados à roteadores domésticos.

Esse tipo de ataque surgiu em meados de 2011, como resultado secundário das principais ameaças distribuídas pelos cibercriminosos, tais como worms e backdoors, e se transformaram em uma forma eficaz de lucrar. Com isso, operadores de espionagem cibernética e de grupos de hacking também adotaram a estratégia.

Em janeiro de 2017, por exemplo, o Bitcoin atingiu o valor US$ 1 mil por unidade, com a sua crescente valorização, chegou a bater o recorde de 20 mil dólares por unidade. A história da Monero (XMR), uma das criptomoedas mais famosas, foi a mesma: o valor disparou de US$ 13 dólares (em janeiro de 2017) para US$ 325 dólares (em fevereiro de 2018). Esses aumentos expressivos, mas voláteis, na cotação das moedas geram interesses. Consequentemente, criminosos cibernéticos aproveitam qualquer método para gerar ou aumentar seus lucros.

Exemplo disso, é o surgimento do malware de mineração de criptomoedas e sua ascensão meteórica no cenário de ameaças. Como mostrado abaixo, o uso de malwares de mineração de criptomoedas aumentou expressivamente, chegando ao máximo de 116.361 ataques, em outubro de 2017, antes de se estabilizar em novembro e dezembro do mesmo ano.

Outras mudanças de paradigmas ocorridas dão indícios das futuras ações dos cibercriminosos em relação à mineração de criptomoedas: exploração de ferramentas legítimas e Greyware, em especial a Coinhive, a preferida para a mineração da criptomoeda Monero e o surgimento de mineradores de criptomoedas que operam sem arquivos.

Do Bitcoin ao Monero

A Coinhive permite que usuários e empresas alternem entre plataformas de monetização por meio de um código JavaScript: ele pode ser usado na CPU de um visitante do site para minerar o Monero. A aparente comodidade e personalização deste método chamou a atenção dos cibercriminosos.

Na verdade, versões maliciosas do minerador da Coinhive foram identificadas como o 6º malware mais comum do mundo, atacando até mesmo sites oficiais de organizações americanas e britânicas, além de servidores em nuvem de empresas de alto perfil. A plataforma de mineração também pode ser disseminada através de malvertisements.

A rastreação da Monero é ainda mais difícil de ser feita em comparação com o bitcoin. O uso de assinaturas do grupo faz com que seja mais difícil rastrear as transações feitas por meio da blockchain da Monero, tais como: endereço, valor, origem e destino, remetentes, destinatários e etc.

Fileless Malware

Assim como ocorreu com o amadurecimento do ransomware, foram vistos em ação, alguns exploits e métodos de instalação de malwares sem arquivos para instalar mineradores. Por exemplo, a Coinhive observou de 10 a 20 mineradores ativos em um site, conseguem gerar um lucro de 0,3 XMR, ou seja, US$ 97 dólares (em 22 de fevereiro de 2018).

Um outro malware de mineração de criptomoedas encontrado no ano passado, usou o EternalBlue para disseminar e explorar o Windows Management Instrumentation (WMI) de forma persistente. Na realidade, o malware Adylkuzz de mineração de Monero, foi identificado como um dos primeiros a usar o EternalBlue, antes do WannaCry.

A cadeia normal de infecção de um malware de mineração de criptomoedas sem arquivos, inclui carregar um código malicioso na memória do sistema. A única pegada física que indica uma infecção é a presença de um arquivo do pacote malicioso, um serviço de WMI instalado e um PowerShell executável.

Para propagação, alguns malwares usam os exploits do EternalBlue, mas também já foram encontrados outros que utilizam a ferramenta Mimikatz para acessar credenciais de usuários e transformar as máquinas de seus alvos em pontos de mineração de Monero.

As vulnerabilidades são também uma das principais portas de entradas para o malware da mineração de criptomoedas. Isto foi evidenciado pelas recentes tentativas de invasão observadas nos sistemas de gerenciamento do banco de dados Apache CouchDB. O JenkinsMiner, um Trojan remoto que também executa a função de minerador de Monero, e visa infectar servidores Jenkins, obteve um lucro de US$3 milhões de dólares em mineração de Monero.

Como bloquear malwares de mineração de criptomoedas

Apesar do impacto dos malwares de mineração de criptomoedas não ser tão palpável ou prejudicial quanto o impacto dos ransomwares, ainda sim, é uma ameaça. Em dezembro de 2017, o malware Loapi, usado para a mineração de Monero em sistemas Android, mostrou o quanto podia danificar os dispositivos a ponto de prejudicar os aparelhos fisicamente.

A mineração cibercriminosa de criptomoedas não compromete apenas a vida útil e o consumo de energia do dispositivo. Além disso, ela também reflete o cenário em constante evolução da tecnologia e os riscos que as ameaças podem trazer.

Os malwares de mineração de criptomoedas provavelmente vão se tornar tão diversos e comuns quanto o ransomware, usando muitas formas diferentes para infectar sistemas e até mesmo transformar suas vítimas em parte do problema. Isso mostra que precisamos adicionar mecanismos de segurança que tenham a habilidade de detectar e prevenir esse novo tipo de técnica, adotando as práticas recomendadas para empresas e usuários.

*Felipe Costa é especialista em Segurança da Informação da Trend Micro