Cryptojacking

Crypotjacking é um termo em inglês que une “crypto”, de criptomoedas, e “jacking”, como a obtenção de algo de forma ilegal ou irregular. Ocorre quando um dispositivo é utilizado para minerar moeda digital sem o consentimento do proprietário do dispositivo.

O processo de mineração embora ainda lucrativo, tem hoje um custo maior do que tinha no passado. Os hackers agora precisam de um maior poder de processamento para executar os algoritmos e conseguir algum resultado. Ao usar centenas ou milhares de equipamentos “emprestados”, podem minerar consumindo a eletricidade, os dispositivos e o poder de computação de suas vítimas. O processo de mineração em si não faz parte do escopo deste artigo, mas se você se interessar, recomendo a leitura do estudo Cryptocurrencies and blockchain do Parlamento Europeu.

Há duas maneiras básicas de se infectar uma vítima: no navegador e com o uso e algum malware instalado. A infecção via navegador ocorre quando o usuário visita uma página infectada. Além de utilizarem sites que se valem da curiosidade e descuido do usuário como sites de fofocas, download grátis e pornografia, os criminosos também se aproveitam de vulnerabilidade em sites famosos e com credibilidade para espalhar seus scripts.

Na infecção por um malware de mineração os hackers normalmente convencem a vítima, utilizando táticas de phishing (veja meu artigo sobre phishing), a clicar em um link ou baixar um documento que oculta um malware de criptografia. Depois de baixado, o malware executa a mineração em segundo plano, sem que o usuário perceba.

E por que neste artigo começamos citando “proprietário do dispositivo” e não “proprietário do computador”? O cryptojacking independe de plataforma. Isso significa que ele pode atuar em seu computador, telefone, tablet, no servidor de sua empresa, em seu cloud entre outros.

“Não preciso me preocupar pois isso ataca apenas pessoas físicas; e, mesmo eu sendo pessoa física, não afeta diretamente a minha segurança”. As duas afirmações estão incorretas. Como o objetivo do criminoso é, na maioria dos casos, utilizar a capacidade de seu dispositivo para rodar o software de criptografia, minerando criptomoeda, o script não faz distinção se está rodando na máquina de uma pessoa física ou no cloud de uma empresa Fortune 500.

Sua produtividade é reduzida pois seu dispositivo fica mais lento e você está pagando pelo consumo deste recurso, seja com a depreciação (desgaste) de seu equipamento, seja com a eletricidade para o equipamento e refrigeração, seja com o custo de cloud. Os únicos sinais de que você foi infectado podem ser um desempenho mais lento do equipamento e dispositivos superaquecidos.

Outro ponto importante a ser considerado é que, se os hackers instalaram um cryptominer em sua máquina, a porta está destrancada e há uma grande possibilidade de eles executarem outro tipo de ataque como ransomware ou keylogger.

Qual é o cenário atual?

Muito tem se falado que o cryptojacking está diminuindo e que as ações conjuntas de empresas e órgãos de governo fechando grandes redes, como a Coinhive em 2018, vem tornando o negócio mais difícil. Entretanto estudos indicam que não.

Os hackers adoram cryptojacking. Sem investir em hardware e infraestrutura o criminoso consegue minerar moedas utilizando os recursos de computação e energia dos usuários. Depois de instalado, o código passa desapercebido e normalmente não impacta diretamente a vítima, o que dificulta a sua identificação. A identificação do hacker também vem se tornando mais difícil com o surgimento de criptomoedas anônimas como Monero.

Em janeiro de 2020 a INTERPOL publicou um comunicado em que, após atuação conjunta com governos e empresas de segurança, reduziu em 78% a quantidade de roteadores MicroTik infectados por cryptojacking no sudoeste asiático. Estimava-se que 20.000 roteadores, algo como 18% dos roteadores da região estavam infectados.

Relatório da Kaspersky indica um aumento nas tentativas de ataque de cryptojacking da ordem de 300% no primeiro trimestre de 2020. Em abril de 2020, a Central de Segurança do Azure da Microsoft fez um post referente a um ataque de mineração de criptomoeda em larga escala contra um componente de cluster Kubernetes (sistema open source para orquestração de contêineres).

Em maio de 2020 supercomputadores de universidades europeias foram alvo de tentativas de ataque para uso de CPU em mineração. Alguns servidores chegaram a ser desligados para que o problema fosse corrigido.

Como se prevenir?

Assim como no phishing, o cryptojacking busca explorar o que é considerado pelos hackers o elo mais fraco e vulnerável nos programas de segurança: as pessoas. Pessoas que por sinal são a última fronteira para a quebra da segurança. O principal foco de atenção de qualquer forma de prevenção deve ser a conscientização das pessoas.

Conscientize, treine e eduque – No mundo corporativo, o treinamento e conscientização dos funcionários são críticos. Os profissionais, independentemente de serem da área de TI, devem saber o que fazer – e o que não fazer –, para evitar ou denunciar o cryptomining. Crie programas de treinamento, ciclos de workshops, comunicados internos entre outros com enfoque neste assunto. Divulgue nos treinamentos e comunicados problemas que ocorreram em outras empresas, demonstrando os impactos operacionais, financeiros e de reputação decorrentes do ataque. Torne este treinamento periódico de modo a que o assunto não caia no esquecimento.

Verifique seu site – Independente se você tem um blog ou um site corporativo verifique constantemente seu site. Tenha certeza de que ele não está sendo utilizado para distribuir scripts. Se você usa WordPress e se usa plugins redobre a atenção. Existem várias ferramentas para isso que variam de complexidade e preço. Duas ferramentas simples é rápidas são a Navegação Segura do Google e o Site Check da Sucuri.

Mantenha seus produtos atualizados – Mantenha seus sistemas operacionais, navegadores e outros softwares atualizados com os patches mais recentes dos fabricantes.

Downloads – Faça download de softwares apenas através de fontes reconhecidas. Não execute softwares de fontes suspeitas, como sites P2P ou que prometem uma cópia sem custo de um software que custa algumas centenas ou milhares de reais.

Suspeite de anexos recebidos – Tenha certeza de que o arquivo que recebeu é realmente necessário e foi realmente enviado de forma intencional pelo remetente descrito. Os atacantes contam com sua curiosidade em abrir o arquivo.

Links – Suspeite de links em sites ou recebidos por e-mail, SMS, mensagens de WhatsApp ou redes sociais, principalmente quando o endereço ou remetente parecer suspeito ou estranho.

Remetente – Sempre desconfie de remetentes desconhecidos. Se desconfiar do e-mail, tente se certificar que o remetente é quem realmente diz ser. Se necessário entre em contato por outros meios.

Utilize senhas diferentes – Utilize senhas diferentes para cada conta de e-mail que possuir e serviço que utilizar. Em hipótese nenhuma utilize a mesma senha corporativa em algum serviço pessoal. Preferencialmente utilize um bom programa gerenciador de senhas para facilitar seu controle. Sempre que possível ative a autenticação de dois fatores.

Utilize ferramentas de proteção de endpoint – Anti-vírus que trabalham com base em assinatura, embora sejam eficientes em muitas situações, não conseguem acompanhar a velocidade dos malwares. Faça uso de uma ferramenta que utilize inteligência artificial para monitoramento de seu endpoint. Se essa ferramenta puder combinar assinatura com inteligência artificial e se trabalhar em conjunto com outras ferramentas de segurança em sua rede, como seu firewall, certamente você terá ganhos expressivos em seu cenário.

Navegação segura – Caso seu software de endpoint ou seu firewall possuam um filtro de navegação segura, ative-o (se os dois possuírem melhor ainda, ative os dois). As melhores ferramentas comparam os endereços que estão sendo visitados com bases que são atualizadas sistematicamente para identificar se aquele site é considerado seguro. Além disso, em um cenário corporativo podem ser utilizados para indicar ao funcionário que a navegação em determinados sites não está de acordo com a política de segurança da empresa ou com o código de ética e conduta.

Anormalidade no uso de processamento em servidores, incluindo cloud – Investigue qualquer crescimento anormal no consumo de CPU e GPU (processador da placa gráfica) de seus servidores, sejam eles físicos, virtuais ou plataformas públicas de cloud como a AWS, Azure, GCP e outros.

Backup, backup e backup – Faça backups constantes. Mantenha cópias de seus arquivos off-line e, também, fora de sua empresa. Se possível siga a regra 3-2-1: no mínimo três cópias dos dados, em no mínimo dois tipos diferentes de mídia e com ao menos 1 cópia fora da empresa. Ferramentas de backup que utilizam sistemas de arquivos locais podem ser comprometidos da mesma forma que os arquivos originais; assim quando você for precisar do backup, ele não estará disponível. E não deixe de testar a restauração de seus backups em períodos regulares.