Durante o ano de 2017, um dos grandes protagonistas do cibercrime foi o ransomware. Depois do WannaCry e do Petya/Non Petya, as atenções ficaram todas voltadas para este tipo de ataques, que sequestram os dados das vítimas em troca de quantias elevadas de dinheiro. No WannaCry, os hackers exigiam inclusive um resgate em bitcoins. Apesar dos altos e baixos, o mercado das criptomoedas continua a ser bastante atrativo, devido à grande valorização das e-currencies. Para os cibercriminosos, o malware de mineração de criptomoedas, o criptojacking, é uma verdadeira mina de ouro: dá aos hackers total controlo sobre os dispositivos das vítimas, utilizando ilegitimamente a sua capacidade computacional para minerar criptomoedas, processo que exige muitíssimos recursos de computação, já que depende da realização de biliões (sim, biliões) de cálculos criptográficos.
Difícil de detetar
Este tipo de infeção tem a particularidade de ser muito difícil de detetar. Muitas vezes a vítima só nota que o seu PC, ou smartphone, está mais lento ou quando sobreaquece sem motivo. Isto acontece porque os recursos computacionais do dispositivo infetado estão a ser inteiramente utilizados para minerar criptomoedas. À semelhança do ransomware, o criptojacking é uma forma relativamente pouco complexa de obter dinheiro ilegitimamente.
Como se propaga?
O malware mineiro propaga-se através da instalação, no computador ou smartphone da vítima, de um programa aparentemente legítimo que, no seu interior, esconde um instalador mineiro. Este instalador remove um utilitário do Windows com o objetivo de fazer download do malware através de um servidor remoto. Depois da execução, um processo de sistema legítimo arranca e o código legítimo deste processo é substituído pelo código malicioso. Como resultado, o “mineiro” opera sob o disfarce de uma tarefa legítima, sendo quase impossível para o utilizador reconhecer se há ou não uma infeção. Em 2017, de acordo com a Kaspersky Lab, 2,7 milhões de utilizadores em todo o mundo foram vítimas deste ataque, mais 50% do que em 2016.
O Coinhive é apontado pelos principais fornecedores de cibersegurança como o malware de mineração de criptomoedas mais prevalente. Embora ataque sobretudo utilizadores domésticos, as empresas também representam uma fatia significativa dos visados por este tipo de ameaça. Segundo a Check Point, durante o mês de janeiro de 2018, 23% das empresas em todo o mundo foram afetadas pelo Coinhive. Os investigadores da Check Point descobriram três variantes diferentes de malware deste tipo no seu ranking das dez ameaças que mais afetaram as empresas, com o Coinhive à cabeça. E
ste criptojacker, que afetou uma em cada cinco empresas de todo o mundo, mina a divisa virtual Monero sem o consentimento do utilizador, quando este visita uma página web. Contém um programa em JavaScript que utiliza os recursos do computador da vítima para minerar moedas, o que se repercute no desempenho do sistema. “Durante os últimos três meses, o criptojacking tornou-se numa ameaça cada vez maior para as organizações, uma vez que os cibercriminosos encontraram nela uma fonte de receitas muito lucrativa", explica Maya Horowitz, diretora do grupo de inteligência de ameaças da Check Point. Detetar e estar protegido contra esta ameaça é uma tarefa bastante complicada, por estar habitualmente oculta nos sites. “Isto permite aos cibercriminosos aproveitar-se de vítimas que não sabem que o são e utilizar em seu benefício o enorme poder computacional que algumas empresas têm. Portanto, é fundamental que as empresas contem com as soluções adequadas para se proteger destes ciberataques sigilosos", afiança Maya Horowitz.
IoT e cloud pública, as próximas frentes
Os cibercriminosos sabem que conseguem propagar o malware de mineração de criptomoedas com sucesso através de PCs, servidores e smartphones, e já ganharam largos milhões à conta deste sistema. A próxima frente de ataque promete ser a Internet of Things – apesar de os dispositivos de IoT terem um poder de processamento baixo, têm a vantagem, para os cibercriminosos, de ser frequentemente esquecidos pelos utilizadores domésticos. Existe ainda outro alvo potencialmente lucrativo para os hackers, embora exija mais tempo e recursos: servidores de cloud pública. Para comprometerem estes alvos, basta que os hackers consigam roubar as credenciais de um provider de cloud e, a partir daí, criar uma série de máquinas virtuais para mineração de criptomoedas. Neste caso, o ataque tem prazo de validade, visto que as empresas conseguirão dar conta da ameaça a partir do momento em que receberem uma fatura com valores anormalmente elevados do seu providers de cloud.
Medidas a tomar
Para estarem protegidos, é fundamental que os utilizadores sigam os seguintes conselhos:
- Não aceder a sites desconhecidos nem a banners e anúncios duvidosos;
- Não descarregar nem abrir arquivos desconhecidos de fontes que não sejam seguras;
Para as empresas é fundamental:
- Realizar com regularidade uma auditoria de segurança;
- Instalar uma solução de segurança em todos os endpoints e servidores, assegurando- se que todos os seus componentes estão habilitados a garantir a máxima proteção.
|