O malware de mineração pode agora ser dolorosamente familiar para qualquer pessoa que tenha uma percepção de criptomoeda, mas até agora as empresas e os consumidores não estão conseguindo conter significativamente sua crescente ameaça.
Em 14 de maio, a firma de cibersegurança israelense Check Point divulgou seu mais recente Índice Global de Ameaças e, pelo quinto mês consecutivo, descobriu que o Coinhive é o "malware mais prevalente" no mundo, afetando 16% das organizações em todo o mundo.
Enquanto isso, a Malwarebytes, sediada em Santa Clara, divulgou suas táticas e técnicas sobre o cibercrime: relatório do primeiro trimestre de 2018 em 9 de abril, constatando que as empresas tiveram um aumento de 27% nos três primeiros meses do ano em comparação com os três anteriores.
No entanto, enquanto o crescimento ano a ano no valor das criptomoedas indicaria que o malware de mineração continuará se espalhando em paralelo, há alguns sinais emergentes de que as organizações, pelo menos, estão aceitando a ameaça representada pelo malware.
Explorando vulnerabilidades básicas
O último relatório da Check Point é mais preocupante do que a manchete por si só sugeriria. Coinhive não só é um malware Javascript projetado para minerar o Monero (XMR) - ocupando o primeiro lugar na lista de dez dos dez "mais procurados" malwares, mas o segundo lugar é tomado por Cryptoloot, outro mineiro furtivo e indetectável do XMR. Semelhante ao Coinhive, o Cryptoloot existe há vários meses, tendo entrado no top dez em dezembro de 2017, quando a Coinhive conquistou o primeiro lugar.
Talvez mais preocupantes sejam os meios pelos quais os malwares de mineração, como Coinhive e Cryptoloot, estão ganhando apoio nos sistemas de TI. De acordo com a Check Point, os hackers estão cada vez mais concentrados em vulnerabilidades mais básicas, como erros não corrigidos no Microsoft Windows Server 2003 e no Oracle Web Logic. Maya Horowitz, gerente do grupo de inteligência de ameaças da Check Point, explicou:
"Com a cripto do crescimento consistente do malware, os cibercriminosos estão inovando suas técnicas para encontrar novas maneiras de explorar as máquinas das vítimas e gerar mais receita. Agora que estão tentando se infiltrar em redes usando vulnerabilidades de servidor não corrigidas, este é um lembrete claro para organizações que as noções básicas de segurança - como patch - são essenciais para garantir que as redes permaneçam seguras".
46% das organizações que a Check Point pesquisou foram atacadas em abril como resultado da vulnerabilidade do Microsoft Windows Server 2003, enquanto 40% foram atingidas por causa da falha do Oracle Web Logic. De acordo com Horowitz: "É preocupante que muitas organizações tenham sido afetadas por essas vulnerabilidades conhecidas, especialmente porque os patches de ambos estão disponíveis há pelo menos 6 meses".
Crescimento que se beneficia do risco relativamente baixo
Em outras palavras, os hackers estão usando malwares conhecidos para explorar vulnerabilidades conhecidas, mas apesar da familiaridade de seus métodos, as organizações parecem incapazes ou não querem fazer muito para se proteger contra os tipos Coinhive e Cryptoloot. É em grande parte por essa razão que a detecção de malware pelas empresas aumentou 27% entre o quarto trimestre de 2017 e o primeiro trimestre de 2018, de acordo com o mais recente relatório "Cybercrime táticas e técnicas" da Malwarebytes, ressaltando até que ponto as empresas foram capturadas por ondas de criptos - para os consumidores, o aumento foi de 4.000%.
INFOGRAPHICS (malware_Q)
O que é interessante sobre esse crescimento é que, como observa a Malwarebytes no relatório, "praticamente todos os outros malwares estão em declínio". Por exemplo, constata que a detecção de ransomware entre os consumidores diminuiu 35% entre o quarto trimestre de 2017 e o primeiro trimestre de 2018, enquanto "o volume geral permanece baixo" para detecções de negócios desse tipo de malware. Por exemplo, era pouco menos de 6.000 em março, enquanto as detecções de malware de mineração estavam em torno de 400.000.
Da mesma forma, enquanto o spyware ainda é classificado pela Malwarebytes como a ameaça número um para empresas, os números foram relativamente baixos no primeiro trimestre de 2018, com o pico de 80.000 detenções de janeiro em significância para as 550.000 detecções de fevereiro em busca de malware com cripto.
Mais interessante ainda, o relatório destaca uma razão pela qual as empresas e os consumidores podem não estar fazendo tanto para evitar a exposição a malware de mineração. Em sua conclusão, afirma:
"A criptomoeda maliciosa parece ser muito menos perigosa para o usuário do que outras formas de malware, como o ransomware".
De fato, como explica Yotam Gutman, vice-presidente de marketing da SecuriThings, empresa de cibersegurança israelense, a Cointelegraph:
"Mineração consome CPU e banda larga. O malware não deve danificar a máquina host, nem deve [impactar] os dados na máquina - como arquivos corrompidos ou criptografados. Máquinas infectadas tendem a trabalhar mais devagar e exibir CPU, energia e consumo de banda larga".
"A maioria das minas de malware é sutil, para não levantar suspeitas", continua ele, enquanto vale a pena notar que malwares como o Coinhive frequentemente deixam de usar o poder de processamento de um host se navegarem para fora de um site infectado ou fecharem o navegador. Além disso, mesmo que as organizações ou indivíduos estejam cientes de uma possível ameaça de criptos, eles podem não ser movidos o suficiente para realmente fazer qualquer coisa:
"Outros estão cientes de que isso pode acontecer, mas não estão preocupados, o que poderia ser o risco de malware que não rouba nada?"
A demanda por criptojacking supera a demanda por segurança cibernética
Como o malware de mineração geralmente representa pouco risco urgente, é muito provável que sua incidência continue crescendo no futuro próximo. Por um lado, o incentivo para empresas e consumidores se protegerem contra isso não é tão grande quanto o adware, spyware ou ransomware. Por outro lado, o incentivo a minar a criptomoeda ilicitamente - especialmente quando os custos legítimos de mineração são tão altos - é consideravelmente grande, e permanecerá assim enquanto as criptomoedas, como a XMR, mantiverem ou aumentarem seus respectivos valores.
Matt Walmsley, diretor de marketing da EMEA na empresa de segurança cibernética Vectra, baseada em IA, explica à Cointelegraph:
“Existe um padrão entre o valor das criptomoedas e a quantidade de cripto roubo que ocorre. Por exemplo, detectamos que à medida que o valor das moedas criptográficas, como Bitcoin, Ethereum e Monero, aumentou, houve um aumento correspondente no número de computadores em campi universitários realizando mineração ou sendo criptografados por mineradores para processar hashes de criptomoedas.”
Tal correlação pinta um quadro sombrio, já que, mesmo que o malware de mineração não seja especialmente prejudicial quando conduzido em menor escala, não é isento de riscos para organizações e servidores maiores. "Os dispositivos que são hoje criptografados podem ser desviados para executar cargas mais destrutivas, como ransomware, ou ataques direcionados a roubo de dados", diz Walmsley. “O 'ruído' gerado por esses eventos de segurança de baixo nível também oferece cobertura para ataques avançados mais direcionados a serem ocultados. Assim, as organizações que ignoram o uso de cryptojacking, considerando-o apenas um problema tolerável de higiene de segurança de baixo nível, podem ser mordidas por sua complacência quando os cibercriminosos aumentam seus ataques”.
Sinais provisórios de melhoria
A ameaça é, portanto, séria, mas apesar do fato de a Coinhive estar celebrando seu quinto mês consecutivo como o malware "mais procurado" da Check Point, há alguns sinais de que as organizações estão aprendendo de forma incremental como lidar com isso.
Por um lado, embora a Check Point tenha constatado que 16% das organizações globais foram afetadas pela Coinhive em abril, essa porcentagem é, na verdade, menor que a de todos os meses anteriores. Em janeiro, fevereiro, março e abril, o malware impactou 23%, 20%, 18% e 16% das organizações, respectivamente, enquanto o impacto do malware cryptojacking caiu de 55% em dezembro para 42% em fevereiro.
INFOGRAPHICS (malware_MON)
As empresas estão, portanto, lentamente tomando conta do malware de mineração, um fato também indicado pelo próprio aumento nas detecções registradas pelo Malwarebytes. A palavra-chave aqui é "detecções", pois pode não ser a implantação ou a tentativa de uso de malware de mineração em geral, mas sim a capacidade das organizações de detectar esse malware quando ele é alvo dele - o "registrado" versus "real" enigma do crime.
No entanto, contra esses lampejos de esperança, analistas e pesquisadores de segurança cibernética alertam que os hackers estão quase sempre encontrando novos alvos para o malware e novas maneiras de direcioná-los. Yotam Gutman adverte:
"Pelo que podemos dizer, [a ameaça] não está diminuindo, mas apenas crescendo. Além disso, criminosos estão encontrando novos dispositivos de computação para usar - como dispositivos de IoT, então seu potencial banco de destino só cresce. Então, infelizmente, a resposta é não, não há fim para a mineração de criptos à vista".
A previsão de que os dispositivos de "Internet das coisas" (IoT) serão cada vez mais direcionados à medida que os hackers mudam suas estratégias foi feita por outros especialistas, com a mais recente previsão do relatório de ameaças de segurança da Internet da Symantec:
“À medida que a mineração de moeda maliciosa evolui, os dispositivos de IoT continuarão sendo alvos maduros para exploração. A Symantec já encontrou um aumento de 600% nos ataques gerais de IoT em 2017, o que significa que os criminosos virtuais poderiam explorar a natureza conectada desses dispositivos em massa."
Como os hackers conseguiram passar de uma vulnerabilidade de servidor básica para a próxima em busca de cripto ilegal, há todos os motivos para suspeitar que eles continuarão migrando para dispositivos de IoT e outros destinos fáceis quando e quando eles surgirem. Juntamente com o sólido desempenho dos mercados de criptomoeda, não há razão para pensar que eles estão indo embora ainda, mesmo que as empresas possam ter começado a se tornar mais sábias à sua ameaça.