Segundo dados
da empresa, 2,7 milhões de usuários foram atacados por mineradores
mal-intencionados em 2017
Segundo os pesquisadores da Kaspersky Lab, os criminosos
virtuais começaram a usar métodos e técnicas sofisticados de infecção copiados dos
ataques direcionados para instalar software de mineração nos computadores
corporativos almejados. O grupo mais bem-sucedido observado pela Kaspersky Lab
ganhou pelo menos US$ 7 milhões explorando suas vítimas em apenas
seis meses de 2017.
Embora o mercado das criptomoedas passe por muitos altos e baixos, o fenômeno ocorrido no ano passado, com picos no valor do bitcoin mudou significativamente não apenas a economia mundial, mas também o universo da cibersegurança. Para ganhar valores em criptomoeda, os criminosos começaram a usar softwares de mineração em seus ataques que, como o ransomware, tem um modelo de monetização simples. Porém, diferentemente do ransomware, eles não prejudicam os usuários de maneira destrutiva, e conseguem ficar no computador por muito tempo sem serem detectados, usando sua capacidade de processamento silenciosamente. Voltando a setembro de 2017, a Kaspersky Lab registrou um aumento dos mineradores que começaram a se propagar ativamente em todo o mundo e previu seu desenvolvimento adicional. A pesquisa mais recente revela que esse crescimento não só continuou, como aumentou e ampliou.
Os pesquisadores da Kaspersky Lab identificaram recentemente um grupo de criminosos virtuais com técnicas de APTs em seu arsenal de ferramentas para infectar usuários com mineradores. Eles têm empregado o método de esvaziamento de processos (“process-hollowing”), normalmente utilizado em malware e já observado em alguns ataques direcionados de agentes de APTs, mas nunca em ataques de mineração.
O ataque funciona da seguinte maneira: a vítima é enganada a baixar e instalar um software de publicidade que contém o instalador do minerador oculto. Esse instalador traz um utilitário legítimo do Windows cuja finalidade principal é baixar o próprio minerador de um servidor remoto. Após sua execução, um processo legítimo do sistema é iniciado, e o código legítimo desse processo é alterado para o código malicioso. Como resultado, o minerador opera sob o pretexto de uma tarefa legítima, sendo impossível para o usuário reconhecer se há uma infecção de mineração. Também é um desafio para as soluções de segurança detectarem essa ameaça. Além disso, os mineradores marcam esse novo processo de modo a restringir o cancelamento de qualquer tarefa. Se o usuário tentar interromper o processo, o sistema do computador será reiniciado. Assim, os criminosos asseguram sua presença no sistema por um tempo mais longo e mais produtivo.
Com base nas observações da Kaspersky Lab, os agentes por trás desses ataques mineraram electroneums e ganharam quase US$ 7 milhões durante o segundo semestre de 2017, uma quantia semelhante às somas que os criadores de ransomware costumavam ganhar ilicitamente.
“Observamos que o ransomware está desaparecendo no segundo plano, ao mesmo tempo em que dá lugar aos mineradores. Isso é confirmado pelas nossas estatísticas, que mostram um crescimento constante dos mineradores durante todo o ano, assim como o fato de que grupos de criminosos virtuais estão desenvolvendo seus métodos ativamente e já começaram a usar técnicas mais sofisticadas para propagar software de mineração. Nós já vimos uma evolução como essa; os hackers de ransomware usavam os mesmos truques quando estavam em ascensão”, declarou Anton Ivanov, analista chefe de malware da Kaspersky Lab.
Segundo os dados da Kaspersky Lab, no total, 2,7 milhões de usuários foram atacados por mineradores mal-intencionados em 2017. Esse número é aproximadamente 50% maior que o de 2016 (1,87 milhão). Eles se tornaram vítimas por causa de adware, jogos e software pirateados usados pelos criminosos virtuais para infectar computadores secretamente. Outra abordagem usada foi a mineração na Web, por meio de um código especial localizado em uma página da Web infectada. O minerador da Web mais usado foi o CoinHive, detectado em muitos sites populares.
Embora o mercado das criptomoedas passe por muitos altos e baixos, o fenômeno ocorrido no ano passado, com picos no valor do bitcoin mudou significativamente não apenas a economia mundial, mas também o universo da cibersegurança. Para ganhar valores em criptomoeda, os criminosos começaram a usar softwares de mineração em seus ataques que, como o ransomware, tem um modelo de monetização simples. Porém, diferentemente do ransomware, eles não prejudicam os usuários de maneira destrutiva, e conseguem ficar no computador por muito tempo sem serem detectados, usando sua capacidade de processamento silenciosamente. Voltando a setembro de 2017, a Kaspersky Lab registrou um aumento dos mineradores que começaram a se propagar ativamente em todo o mundo e previu seu desenvolvimento adicional. A pesquisa mais recente revela que esse crescimento não só continuou, como aumentou e ampliou.
Os pesquisadores da Kaspersky Lab identificaram recentemente um grupo de criminosos virtuais com técnicas de APTs em seu arsenal de ferramentas para infectar usuários com mineradores. Eles têm empregado o método de esvaziamento de processos (“process-hollowing”), normalmente utilizado em malware e já observado em alguns ataques direcionados de agentes de APTs, mas nunca em ataques de mineração.
O ataque funciona da seguinte maneira: a vítima é enganada a baixar e instalar um software de publicidade que contém o instalador do minerador oculto. Esse instalador traz um utilitário legítimo do Windows cuja finalidade principal é baixar o próprio minerador de um servidor remoto. Após sua execução, um processo legítimo do sistema é iniciado, e o código legítimo desse processo é alterado para o código malicioso. Como resultado, o minerador opera sob o pretexto de uma tarefa legítima, sendo impossível para o usuário reconhecer se há uma infecção de mineração. Também é um desafio para as soluções de segurança detectarem essa ameaça. Além disso, os mineradores marcam esse novo processo de modo a restringir o cancelamento de qualquer tarefa. Se o usuário tentar interromper o processo, o sistema do computador será reiniciado. Assim, os criminosos asseguram sua presença no sistema por um tempo mais longo e mais produtivo.
Com base nas observações da Kaspersky Lab, os agentes por trás desses ataques mineraram electroneums e ganharam quase US$ 7 milhões durante o segundo semestre de 2017, uma quantia semelhante às somas que os criadores de ransomware costumavam ganhar ilicitamente.
“Observamos que o ransomware está desaparecendo no segundo plano, ao mesmo tempo em que dá lugar aos mineradores. Isso é confirmado pelas nossas estatísticas, que mostram um crescimento constante dos mineradores durante todo o ano, assim como o fato de que grupos de criminosos virtuais estão desenvolvendo seus métodos ativamente e já começaram a usar técnicas mais sofisticadas para propagar software de mineração. Nós já vimos uma evolução como essa; os hackers de ransomware usavam os mesmos truques quando estavam em ascensão”, declarou Anton Ivanov, analista chefe de malware da Kaspersky Lab.
Segundo os dados da Kaspersky Lab, no total, 2,7 milhões de usuários foram atacados por mineradores mal-intencionados em 2017. Esse número é aproximadamente 50% maior que o de 2016 (1,87 milhão). Eles se tornaram vítimas por causa de adware, jogos e software pirateados usados pelos criminosos virtuais para infectar computadores secretamente. Outra abordagem usada foi a mineração na Web, por meio de um código especial localizado em uma página da Web infectada. O minerador da Web mais usado foi o CoinHive, detectado em muitos sites populares.
Número de usuários da Kaspersky Lab infectados por mineradores
de criptomoeda maliciosos em 2017
Para ficar protegido, a Kaspersky Lab
recomenda aos usuários:
- Não clique em sites desconhecidos ou em banners e anúncios suspeitos;
- Não baixe e instale arquivos desconhecidas de fontes não confiáveis;
- Instale uma solução de segurança confiável, como o Kaspersky Internet Security ou o Kaspersky Free, capaz de detectar e oferecer proteção contra todas as ameaças possíveis, incluindo software de mineração malicioso.
Para as organizações, a Kaspersky Lab recomenda:
- Realizar auditorias de segurança periódicas
- Quando possível, instalar uma solução de segurança em todas as estações de trabalho e todos os servidores, e a mantenha sempre atualizada. A Kaspersky Lab oferece o Kaspersky Endpoint Security for Business
Mais informações sobre as atividades de mineradores estão
disponíveis em: https://securelist.com/mining-is-the-new-black/84232/
As principais tendências dos ataques de
mineração e as descobertas mais recentes sobre ameaças relacionadas a moeda
criptografada serão apresentadas no Security Analyst Summit de pesquisadores da
Kaspersky Lab, que será realizado em 9 de março de 2018: https://sas.kaspersky.com.
Kaspersky
Lab
