O criptojacking, o computador infectado com malware para a moeda criptográfica da mina, viu os preços caírem juntamente com o criptojacking. O vírus e os seus propagadores estão a adaptar-se, tal como qualquer outro organismo dextro que enfrenta a extinção. De acordo com a Symantec, os incidentes de criptojacking caíram 52% entre Janeiro de 2018 e Janeiro de 2018, mas os métodos de entrega, execução, e de segmentação tornaram-se mais sofisticados.
Systematec
O relatório mais recente da Symantec centrou-se na Beapy. Esta é uma campanha de criptojacking que visa negócios e empresas na Ásia. O vírus propaga-se através de correio electrónico utilizando uma exploração de software chamada EternalBlue, que foi desenvolvida pela NSA dos Estados Unidos. A Symantec foi a primeira a reparar na ameaça, em Janeiro deste ano.
O vírus infectou mais de 2.000 dispositivos em Março, e desde então tem continuado a aumentar de forma constante.
"Esta campanha mostra que o criptojacking é menos popular entre os ciber-criminosos do que era no auge em 2018, mas ainda é um ponto focal para alguns deles, sendo as empresas agora o seu principal alvo", afirma a introdução a este relatório.
Gráfico Symantec
O relatório afirma que 98 por cento estão infectados por resgates. Isto é consistente com as tendências de 2018 nos ataques de resgate, onde uma diminuição das ameaças globais foi correlacionada com um aumento de infecções focalizadas na empresa. Allan Neville, Symantec Threat Intelligence Analyst, disse que estes ataques podem "[tornar] alguns dispositivos inoperáveis devido à elevada utilização de CPU".
A China é o principal alvo deste ataque, anulando todos os outros países afectados com uma espantosa quota de 83 por cento. Outros países afectados incluem o Japão, Coreia do Sul e Hong Kong, Taiwan e Bangladesh, Filipinas, e - os únicos dois do Hemisfério Oriental - Jamaica e Japão.
Estratégia de Infecção por Vírus
As folhas de cálculo Excel infectadas espalham o vírus para computadores Windows. Assim que a folha de cálculo fosse aberta, abriria uma porta de trás para o SO do computador. Fazia uso da exploração do DoublePulse, que também era vazada nas mesmas ferramentas cibernéticas de lote que dava aos atacantes o vector EternalBlue.
Os ficheiros de vírus poderiam ser espalhados "lateralmente através de redes" explorando uma fraqueza no protocolo de Bloco de Mensagens do Servidor Windows.
O malware mineiro também roubou credenciais tais como nomes de utilizador e palavras-passe de dispositivos infectados, a fim de se espalhar para outros computadores dentro de uma rede. A empresa também descobriu versões Beapy num servidor de interface pública, utilizando uma lista de endereços IP para criar uma lista de vítimas potenciais.
Mais positivo do que antes
Uma das descobertas mais marcantes do estudo é que a Beapy difere do malware criptojacking utilizado quando as infecções estavam no seu auge no início de 2018.
Estas campanhas utilizaram, em grande parte, mineiros baseados em navegadores. Estes vírus utilizaram o protocolo Coinhive para minerar Monero para fins de caridade. Este protocolo foi utilizado pela UNICEF e outros sites como a UNICEF. O relatório sugere que a Coinhive encerrou as operações em Março de 2019 devido ao declínio acentuado de Monero no mercado de ursos e a um declínio constante de criptojacking.
A Beapy não depende da exploração mineira por browser e utiliza uma abordagem mais lucrativa e complexa de exploração de ficheiros. A extracção de ficheiros é mais eficiente do que a extracção por browser e pode produzir um maior retorno do que a extracção por browser. Por exemplo, o retorno médio de 30 dias desta técnica poderia compensar os blackhats $750,000 do vírus. Isto faz com que o retorno da exploração mineira por browser pareça insignificante a $30,000.
Imagem cortesia da Symantec
Neville disse que a mineração de moedas em arquivo não é nova, apesar de estar em ascensão. É apenas "retomado um lugar na criptografia baseada em navegador nos últimos dois anos", porque requer menos habilidade técnica.
Ele disse: "O lançamento Coinhive - e os seus guiões prontos - baixou ainda mais esta barreira".
Um computador pode ainda assim executar a exploração do navegador mesmo que esteja protegido contra o vírus.
Neville declarou que era demasiado cedo para saber se haverá um ressurgimento da mineração baseada em ficheiros, em oposição à baseada em navegadores. No entanto, a detecção e protecção contra os Coinminers irá melhorar, pelo que os cibercriminosos irão começar a procurar "fontes de receitas alternativas".
"À medida que os cibercriminosos melhoram as suas tácticas, temos também observado que a sua abordagem se torna mais específica".
A defesa contra a Ameaça
O relatório conclui enumerando os efeitos secundários de infecções por criptojacking, tais como sobreaquecimento do dispositivo, consumo excessivo de bateria, e possível degradação do dispositivo.
Também descreve as medidas de segurança que as empresas podem tomar a fim de se protegerem contra tais ataques. As empresas podem utilizar soluções de segurança do lado do hardware e software, incluindo firewalls, avaliações de vulnerabilidade, senhas robustas e autenticação multi-factor.
A educação é crucial para os empregados. O relatório ensina lições sobre criptojacking e como detectá-lo. Muitos destes pontos foram reiterados por Neville no final da nossa correspondência.
As empresas devem assegurar que os empregados sejam treinados para reconhecer e denunciar os e-mails de phishing que lhes tenham sido enviados por entregadores do sexo masculino. Devem também implementar sistemas defensivos sobrepostos e de apoio mútuo para proteger contra falhas de ponto único em qualquer tecnologia ou método de protecção. Isto inclui a implementação de tecnologias de protecção de endpoint, web, e correio electrónico, firewalls, e soluções de avaliação de vulnerabilidade. É importante manter estes sistemas de segurança actualizados com as mais recentes protecções e assegurar que os sistemas sejam protegidos contra exploits como EternalBlue.