Cibercriminosos lucram US$ 7 milhões em seis meses com malware de mineração

Segundo pesquisadores da Kaspersky Lab, criminosos virtuais começaram a usar métodos e técnicas sofisticados de infecção copiados dos ataques direcionados para instalar software de mineração nos computadores corporativos almejados. O grupo mais bem-sucedido observado pela Kaspersky Lab ganhou pelo menos US$ 7 milhões explorando suas vítimas em apenas seis meses de 2017.

Embora o mercado das criptomoedas passe por muitos altos e baixos, o fenômeno ocorrido no ano passado, com picos no valor do bitcoin mudou significativamente não apenas a economia mundial, mas também o universo da cibersegurança. Para ganhar valores em criptomoeda, os criminosos começaram a usar softwares de mineração em seus ataques que, como o ransomware, tem um modelo de monetização simples.

Porém, diferentemente do ransomware, eles não prejudicam os usuários de maneira destrutiva, e conseguem ficar no computador por muito tempo sem serem detectados, usando sua capacidade de processamento silenciosamente. Voltando a setembro de 2017, a Kaspersky Lab registrou aumento dos mineradores que começaram a se propagar ativamente em todo o mundo e previu seu desenvolvimento adicional. A pesquisa mais recente revela que esse crescimento não só continuou, como aumentou e ampliou.

Os pesquisadores da Kaspersky Lab identificaram recentemente um grupo de criminosos virtuais com técnicas de APTs em seu arsenal de ferramentas para infectar usuários com mineradores. Eles têm empregado o método de esvaziamento de processos (“process-hollowing”), normalmente utilizado em malware e já observado em alguns ataques direcionados de agentes de APTs, mas nunca em ataques de mineração.

O ataque funciona da seguinte maneira: a vítima é enganada a baixar e instalar um software de publicidade que contém o instalador do minerador oculto. Esse instalador traz um utilitário legítimo do Windows cuja finalidade principal é baixar o próprio minerador de um servidor remoto. Após sua execução, um processo legítimo do sistema é iniciado, e o código legítimo desse processo é alterado para o código malicioso.

Como resultado, o minerador opera sob o pretexto de uma tarefa legítima, sendo impossível para o usuário reconhecer se há uma infecção de mineração. Também é um desafio para as soluções de segurança detectarem essa ameaça. Além disso, os mineradores marcam esse novo processo de modo a restringir o cancelamento de qualquer tarefa. Se o usuário tentar interromper o processo, o sistema do computador será reiniciado. Assim, os criminosos asseguram sua presença no sistema por um tempo mais longo e mais produtivo.

Com base nas observações da Kaspersky Lab, os agentes por trás desses ataques mineraram electroneums e ganharam quase US$ 7 milhões durante o segundo semestre de 2017, uma quantia semelhante às somas que os criadores de ransomware costumavam ganhar ilicitamente.

Segundo os dados da Kaspersky Lab, no total, 2,7 milhões de usuários foram atacados por mineradores mal-intencionados em 2017. Esse número é aproximadamente 50% maior que o de 2016 (1,87 milhão). Eles se tornaram vítimas por causa de adware, jogos e software pirateados usados pelos criminosos virtuais para infectar computadores secretamente. Outra abordagem usada foi a mineração na Web, por meio de um código especial localizado em uma página da Web infectada. O minerador da Web mais usado foi o CoinHive, detectado em muitos sites populares.

Número de usuários da Kaspersky Lab infectados por mineradores de criptomoeda maliciosos em 2017

Recomendações

Para ficar protegido, a Kaspersky Lab recomenda aos usuários
– Não clique em sites desconhecidos ou em banners e anúncios suspeitos
– Não baixe e instale arquivos desconhecidas de fontes não confiáveis
– Instale uma solução de segurança confiável

Para as organizações, a Kaspersky Lab recomenda:
– Realizar auditorias de segurança periódicas
– Quando possível, instalar uma solução de segurança em todas as estações de trabalho e todos os servidores, e a mantenha sempre atualizada