A ascensão dos sequestradores ilegais de mineração de Cripto – e a resposta das grandes empresas de tecnologia

Grandes empresas de tecnologia como Google e Amazon estão em alerta máximo sobre ameaças de cryptojacking aos seus servidores em nuvem. À medida que esse tipo de ataque se torna mais prevalente, a conscientização do consumidor continua sendo a chave para a defesa cibernética, dizem os especialistas.

Cryptojacking é um tipo de ataque cibernético em que hackers sequestram os recursos de um computador e os usam para minerar criptomoedas. A moeda mais popular minerada dessa forma é amoeda de Política de Privacidade Monero (XMR), que é amplamente utilizado na dark web.

Esta peça faz parte do CoinDesk’sSemana da Mineraçãosérie.

Os provedores de serviços em nuvem estão essencialmente alugando prédios de apartamentos para seus usuários, disse Wei Xian Tee, Oficial Especializado em Crimes Cibernéticos da Interpol. Eles têm visibilidade limitada sobre o que os usuários estão fazendo e, se eles espiarem dentro desses apartamentos, surgem problemas de Política de Privacidade . Portanto, T há muito que os provedores de nuvem possam fazer para impedir que os usuários baixem malware de cryptojacking que infecta seus computadores. Em vez disso, quando se trata de cryptojacking, a principal prioridade da Interpol é educar o público sobre as ameaças que esse tipo de malware representa, para que os usuários possam alertar as autoridades, disse ele.

Leia Mais: O que é Cryptojacking?

Os serviços de nuvem reúnem recursos de hardware, oferecendo-os como serviços virtualizados sob demanda para assinantes pagantes. Muitas vezes ocupando o espaço de data center de quarteirões da cidade, esses sistemas poderosos e distribuídos globalmente são um alvo suculento para cryptojackers. Ao hackear uma máquina virtual, eles podem obter acesso a pools de recursos de hardware muito maiores nesses ambientes virtualizados.

A maioria das empresas e indivíduos dependem de fornecedores de nuvem, como Google ou Amazon, para armazenar dados e executar aplicativos. Quando usam esses serviços, eles criam suas próprias máquinas virtuais na nuvem do fornecedor e as compartilham com a equipe, que por sua vez as conecta a diferentes dispositivos. Esse processo abre vários vetores de ataque para o cryptojacker obter acesso às máquinas virtuais de uma empresa e, talvez, em última análise, aos vastos recursos de servidor do fornecedor de nuvem, que podem incluir fazendas de GPU frequentemente usadas por empresas para treinar sistemas de inteligência artificial.

A crescente ameaça do cryptojacking

A empresa de segurança cibernética SonicWall estima que a quantidade de todos os ataques de cryptojacking cresceu19% ano a anoem 2021, com a maior parte do aumento vindo da Europa.

Em seuRelatório de segurança cibernética de 2021O Google Cloud disse que 86% das instâncias de nuvem comprometidas foram usadas para mineração de Cripto .

“À medida que a Criptomoeda cresce em valor, alguns invasores estão se voltando para o cryptojacking em vez do ransomware”, disse Karthik Selvaraj, diretor de pesquisa de segurança da Microsoft, à CoinDesk. “A Criptomoeda veio para ficar, o que infelizmente significa que os ladrões de Cripto também estão”, disse ele.

O gerente geral da empresa de segurança cibernética Kaspersky para o Sudeste Asiático, Yeo Siang Tiong, destacou que, com a alta dos preços do Bitcoin em setembro de 2021, o número de usuários enfrentando ameaças de mineração de Cripto atingiu 150.000 — seu maior nível mensal. A empresa russa de segurança cibernética também dados observados no ano passadoindicando que os hackers desviaram recursos de ataques cibernéticos tradicionais, como ataques distribuídos de negação de serviço (DDoS), para o cryptojacking.

A mudança paraprova de participaçãoa mineração pode ajudar a conter o crescimento do cryptojacking, pois tornaria esse tipo de ataque menos lucrativo, disse Selvaraj, da Microsoft.

As grandes empresas de tecnologia revidam

“A Microsoft e a Intel fizeram uma parceria recentemente para melhorarMicrosoft Defender para Endpoint’s capacidade de detectar malware de mineração de Criptomoeda ”, disse Selvaraj. A Microsoft usa Tecnologia de varredura comportamental e de memória para “detectar cryptojacking e Infostealers que têm como alvo carteiras”, disse o diretor de segurança.

A segurança de endpoint protege uma rede, digamos uma rede corporativa de nuvem, protegendo os dispositivos que se conectam a ela de fora do seu firewall. Esses dispositivos de endpoint são aqueles com os quais humanos, por exemplo, funcionários de uma empresa, interagem, como laptops, tablets, ETC

No início de fevereiro, o Google Cloud lançou um novo produto, chamado Virtual Machine Threat Detection (VMTD), com o objetivo de proteger clientes de ameaças de cryptojacking. O Google Cloud se recusou a comentar sobre essa história e indicou a CoinDesk para a postagem do blog anunciando seu VMTD.

Leia Mais: T chame isso de retorno: a improvável ascensão da mineração doméstica de Bitcoin

Diferentemente da Microsoft, a solução de segurança do Google Cloud visa detectar malware de mineração de Cripto em execução em máquinas virtuais observando o hypervisor, o software que cria e executa as máquinas virtuais. Esse método suavizará o golpe de desempenho em comparação à segurança de endpoint tradicional, disse a empresa.

“Sinceramente, nenhuma abordagem de fornecedor único será suficiente”, disse John Wethington, especialista em segurança cibernética e hacker whitehat, à CoinDesk. “Embora você possa discutir os méritos ou prós e contras da abordagem de um fornecedor específico, é importante observar que essas decisões são frequentemente tomadas em um vácuo de informações por um punhado de pessoas, não por um único indivíduo”, disse ele.

A Amazon Web Services (AWS), provedora de serviços de nuvem do varejista online, se recusou a comentar esta história. Um porta-voz disse que é um “problema de fraude de cartão de crédito/identidade”. De acordo com a empresa de segurança cibernética Cado, a AWS foi vítima de umataque de mineração de Criptoem agosto de 2020. Um grupo conhecido como TeamTNT roubou com sucesso as credenciais da AWS e implantou o XMRig, o malware de criptojacking mais comum, em servidores, informou a empresadisse no momento.

O Alibaba Cloud também foi alvo de um ataque de cryptojacking em novembro de 2021, de acordo com uma pesquisa daMicrotendência. Um representante da Alibaba Cloud direcionou a CoinDesk para um página da Internetsobre suas capacidades anti-ransomware e disse que a empresa não comentaria neste momento.

Cryptojackers: escondidos à vista de todos

Ao contrário de outros ataques, os mineradores de Cripto prosperam sendo furtivos por longos períodos de tempo, para que possam minerar o máximo de Criptomoeda possível, disse Yeo.

Por esse motivo, “a regra de ouro neste espaço é não fazer muito barulho”, de acordo com Wethington.

Cryptojackers irão “sequestrar dispositivos suficientes para que seu poder de processamento possa ser reunido” para criar uma grande rede de cryptojacking que seja mais eficaz na geração de renda, disse Yeo, da Kaspersky. Isso leva a uma “desaceleração repentina dos dispositivos ou a um aumento nas reclamações entre empresas sobre o desempenho do computador”, disse ele.

No entanto, os hackers frequentemente optam por um modus operandi silencioso: uma botnet distribuída de baixo impacto de mineradores XMRig, que são fáceis de implementar e, "a menos que algo esteja terrivelmente errado com a configuração", os clientes da nuvem T notarão, disse Wethington. Esses ataques são normalmente executados por equipes de cryptojacking em vez de serem oferecidos como um serviço, disse ele.

Além dos métodos astutos dos hackers, os usuários podem pensar que seus computadores estão ficando velhos e lentos quando, na verdade, os hackers estão usando seus recursos para minerar criptomoedas, explicou Tee, da Interpol.

Frequentemente, o malware reside em versões comprometidas de software legítimo, de modo que “as varreduras de segurança têm menos probabilidade de sinalizar o aplicativo baixado como uma ameaça”, disse Yeo.

De forma mais ampla, as organizações estão enfrentando "vários provedores de nuvem, controles de segurança não padronizados e falta de visibilidade sobre o que está ocorrendo dentro de seu ambiente", disse o principal estrategista de segurança cibernética da VMware, Rick McElroy, ao CoinDesk por e-mail.

Muitas das vulnerabilidades exploradas para cryptojacking são as mesmas usadas em outros tipos de operações ofensivas cibernéticas, destacou Tee.

A crescente sofisticação dos cryptojackers

Em seu relatório de segurança cibernética, o Google Cloud disse que 58% das instâncias de nuvem atacadas tiveram o malware baixado dentro de 22 segundos após o comprometimento inicial, indicando que os hackers usaram ferramentas automatizadas.

McElroy apontou para um ataque a um ambiente Kubernetes. Kubernetes é um sistema de código aberto para automatizar a implantação, dimensionamento e gerenciamento de aplicativos em contêineres que foicada vez mais popularentre empresas de tecnologia comoSpotify e Reserva.com.

Leia Mais: Por que alguns desenvolvedores de Bitcoin dizem que os lasers podem reduzir os custos de energia da mineração

As opções do Kubernetes estão disponíveis em serviços de nuvem comoAWSe Google, juntamente com seu próprio software de gerenciamento de nuvem, mas o sistema de contêiner também pode ser configurado e implantado independentemente dos provedores.

Graboid, um tipo de malware worm, tinha como alvo específico os chamados contêineres, semelhantes a máquinas virtuais, mas rodando em Kubernetes. Isso mostra a inovação dos cibercriminosos que praticam cryptojacking, bem como sua melhor compreensão da falta de ferramentas defensivas que protegem os ambientes Kubernetes, disse McElroy.

A complexidade e sofisticação das ameaças aumentaram nos últimos anos, disse Yeo, da Kaspersky. “O número de modificações exclusivas também aumentou em 47% no terceiro trimestre de 2021 em comparação ao segundo trimestre de 2021”, disse ele. Modificações são mudanças no código de um aplicativo de mineração de Cripto para minerar um novo token ou se adaptar a novos sistemas.

Tee, da Interpol, disse que os ataques de cryptojacking ainda não são tão sofisticados quanto outros tipos de ataques cibernéticos. Scripts de mineração de criptomoedas podem ser comprados online por apenas US$ 30, pesquisa da empresa de inteligência de ameaçasSombras Digitaismostrou em 2018.

Métodos de ataque de um cryptojacker

O método de ataque mais popular é o phishing, disse McElroy. Em 2021, a SonicWall observou o cryptojacking também se espalhando por meio de software pirateado e crackeado.

“Sistemas que T são corrigidos ou têm problemas de configuração que são públicos, como sites ou servidores de e-mail, ainda permanecem no topo da lista também”, disse ele. Hackers são conhecidos por escanear redes em busca de endpoints desprotegidos; eles podem ser qualquer coisa, desde laptops, máquinas virtuais em servidores de nuvem, até dispositivos de Internet das Coisas (IoT) como sua geladeira inteligente.

Em 2019, a Interpol descobriu que mais de 20.000 roteadores foram afetados por malware de mineração ilegal de Cripto . Operação Peixe Dourado, como era chamado, levou cinco meses e envolveu autoridades policiais de 10 países do Sudeste Asiático. Por meio desses roteadores, os hackers conseguiram infectar máquinas, e o software de mineração estava, na verdade, rodando em segundo plano nos navegadores, disse Tee.

“Começaremos a ver uma série de dispositivos de computação de ponta usados para esse propósito", disse McElroy, acrescentando que ele vê invasores indo atrás de alvos fáceis, como dispositivos de IoT. Esses geralmente carecem de “recursos de prevenção, detecção e resposta, pois as organizações priorizaram aumentar a segurança e a visibilidade dentro dos ambientes de nuvem”, ele observou.

Quanto mais os cryptojackers recorrerem à crescente superfície de ataque oferecida pelos dispositivos IoT, mais os consumidores precisarão estar cientes da ameaça para se protegerem.

“Para proteger contra ataques de cryptojacking especificamente, também é necessário monitorar o uso do processador em todos os endpoints, incluindo aqueles hospedados na nuvem”, disse Yeo, da Kaspersky.

Leitura adicional da semana de mineração da CoinDesk

Após proibição de curta duração, cidade de Nova York ainda está lidando com mineradores de Cripto ao lado

Cidades por todos os EUA estão lutando com o que significa ter operações de mineração em suas comunidades. Plattsburgh oferece um estudo de caso.

A Bielorrússia atrairá mineradores de Cripto em meio a sanções e à guerra entre Rússia e Ucrânia?

Apesar das condições favoráveis de negócios, o ambiente político de um país pode deter o capital internacional. Este artigo faz parte da Mining Week da CoinDesk.

Como é uma FARM de Mineração de Cripto ? Fotos Impressionantes da Sibéria à Espanha

Repórteres da CoinDesk viajaram pela Europa, Ásia e América do Norte para capturar a diversidade de instalações de mineração de Criptomoeda . Este artigo faz parte da Semana de Mineração da CoinDesk.

CORREÇÃO (24 de março, 8:58 UTC):Corrige a grafia da camiseta da Interpol.