Como funciona o cryptomining ilícito?
Existem dois tipos principais de criptominers ilícitos:
1. Binários – aplicações maliciosas descarregadas e instaladas no dispositivo alvo com o objetivo de minar criptomoeda. As soluções de segurança ESET classificam a maioria destas aplicações como cavalos de troia.
2. Baseado no browser – JavaScript malicioso incorporado numa página web ou em algumas das suas partes/objetos, concebido para minar criptomoeda através dos browsers dos visitantes do site. Este método é apelidado de cryptojacking e tem-se tornado cada vez mais popular entre os cibercriminosos desde meados de 2017. A ESET deteta a maioria dos scripts de cryptojacking como aplicações potencialmente indesejáveis (PUAs).
Aviso
A maioria dos criptominadores ilícitos tentam extrair Monero ou Ethereum. Estas moedas criptográficas oferecem aos cibercriminosos várias vantagens sobre a bitcoin mais conhecida: têm um nível mais elevado de anonimato de transação e, mais importante ainda, podem ser minadas com CPUs e GPUs regulares em vez de hardware caro e especializado. Ataques de criptografia e criptojacking foram detetados em todas as plataformas de desktop populares, bem como no Android e iOS.
Porque devem as PMEs preocupar-se com o cryptomining ilícito?
Um total de 30% das organizações no Reino Unido foram vítimas de um ataque de cryptojacking no mês anterior, de acordo com um inquérito recente entre 750 executivos de TI em todo o Reino Unido. Estas estatísticas documentam duas coisas:
1. Apesar do cryptomining ilícito representar uma ameaça com uma gravidade aparentemente menor, as organizações não devem subestimar o risco que ele representa. A exploração costuma desviar uma grande parte do poder de processamento do hardware, reduzindo o desempenho e a produtividade. O processo de energia intensiva causa stress adicional aos componentes do hardware e pode danificar dispositivos alvo, encurtando a sua vida útil.
2. Os criptominadores expõem vulnerabilidades na postura de cibersegurança de uma organização, o que pode levar a compromissos e perturbações potencialmente mais graves. Devido ao seu desempenho mais elevado e concentrado, as infraestruturas e redes empresariais são um alvo mais valioso do que os dispositivos de consumo, prometendo ao atacante ganhos mais elevados dentro de um prazo mais curto.
Como reconhecer um ataque de cryptomining?
O cryptomining e o cryptojacking estão tipicamente associados a uma atividade de processamento extremamente elevada, o que tem efeitos secundários significativos:
- Desempenho e produtividade da infraestrutura visivelmente reduzidos
- Consumo de energia estranhamente elevado
- Tráfego de rede suspeito
Em dispositivos Android este esforço computacional adicional causa:
- Vida mais curta da bateria
- Temperatura do dispositivo visivelmente aumentada
- Menor produtividade do dispositivo
- Danos físicos por “inchaço” da bateria
Como manter a sua organização protegida contra cryptomining?
1. Proteja os seus endpoints, servidores e outros dispositivos com soluções de segurança fiáveis e multicamada capazes de detetar scripts de cryptomining potencialmente indesejáveis (PUA), bem como cavalos de troia de cryptomining.
2. Implementar Software de Deteção de Intrusão (IDS) que ajuda a identificar padrões suspeitos de rede e comunicação potencialmente ligados a cryptomining ilícitos (domínios infetados, ligações de saída em portas ligadas a cryptomining, tais como 3333, 4444 ou 8333, sinais de persistência, etc.).
3. Aumentar a visibilidade da rede utilizando uma consola de gestão remota para impor políticas de segurança, monitorizar o estado do sistema, bem como a segurança dos terminais e servidores da empresa.
4. Formar todos os colaboradores (incluindo os gestores de topo e administradores de rede) em como manter uma boa “ciberhigiene” e criar e utilizar passwords fortes, reforçadas com autenticação de dois fatores, aumentando a proteção dos sistemas da empresa em caso perda de passwords.
Medidas adicionais
5. Seguir o princípio do privilégio mínimo. Todos os utilizadores só devem ter contas de utilizador com o mínimo de permissões possível, que lhes permitam completar as suas tarefas atuais. Esta abordagem reduz significativamente o risco de utilizadores e administradores serem manipulados para abrir ou instalar criptominadores ou outro software malicioso num dispositivo ligado à rede da empresa.
6. Utilizar controlos de aplicação que reduzam ao mínimo o software com permissões de execução, impedindo a instalação de malware de malware de cryptomining.
7. Implementar uma boa política de atualização para diminuir significativamente a possibilidade de uma organização ser comprometida através de vulnerabilidades previamente conhecidas, uma vez que muitos criptominadores avançados usam exploits conhecidas, tais como EternalBlue, para a sua distribuição primária.
8. Monitorizar os sistemas da empresa para o uso excessivo de energia ou outras anomalias de consumo de energia que possam apontar para uma atividade de cryptomining não solicitado.
Impeça o cryptomining
Obtenha proteção eficaz contra a cryptomining com soluções de segurança de endpoints multicamada ESET capazes de detetar scripts de cryptomining potencialmente indesejado (PUA), bem como cavalos de troia de cryptomining. Inclui proteção Ransomware Shield e LiveGrid® através da cloud e proteção contra ataques de rede. Combina o potente motor de scan da ESET com a ESET PROTECT Cloud e faculta visibilidade detalhada da rede.
