Cryptojacking

Tubo sobre cryptojacking

Cryptojacking (também chamado de mineração maliciosa de criptomoeda) é uma ameaça online emergente que se oculta em um computador ou dispositivo móvel e usa os recursos da máquina para “minerar” formas de dinheiro online conhecido como criptomoeda. Trata-se de uma ameaça crescente que pode se apoderar de navegadores da Internet e que atinge todos os tipos de dispositivos, de desktops e notebooks a smartphones e mesmo servidores de rede.

Como a maioria dos outros ataques maliciosos ao público de informática, o motivo é o lucro, porém, diferente de muitas ameaças, ele é projetado para permanecer totalmente oculto do usuário. Para entender as mecânicas da ameaça e como se proteger dela, vamos partir de um contexto.

O que são criptomoedas?

As criptomoedas são formas de dinheiro digital que existem apenas no universo online, sem forma física efetiva. Elas foram criadas como uma alternativa ao dinheiro tradicional e ganharam popularidade por conta de seu design inovador, potencial de crescimento e anonimato. Uma das primeiras e mais bem-sucedidas formas de criptomoeda, a Bitcoin, surgiu em 2009. Em dezembro de 2017, o valor de uma única bitcoin tinha atingido seu ponto mais alto próximo a $20.000 USD, seguido de uma queda abaixo de $10.000. O sucesso da Bitcoin inspirou dezenas de outras criptomoedas que operam praticamente da mesma maneira. Menos de uma década após sua invenção, as pessoas no mundo todo usam criptomoedas para comprar coisas, vender coisas e fazer investimentos.

Duas palavras —“criptografia” e “moeda”—são combinadas para formar a “criptomoeda,” um dinheiro eletrônico baseado nos princípios de criptografia matemática complexa. Todas as criptomoedas existem como unidades monetárias decentralizadas criptografadas, transferidas livremente entre participantes da rede. Ou, de forma mais simples, criptomoeda é eletricidade convertida em linhas de código, a qual tem um valor monetário real.

Unidades de criptomoeda (chamadas “moedas”) são simples entradas em um banco de dados. A fim de realizar uma transação que altere o banco de dados, é necessário atender determinadas condições. Pense em como rastrear seu próprio dinheiro em uma conta bancária. Sempre que você autoriza transferências, saques ou depósitos, o banco de dados da instituição financeira atualiza suas novas transações. As criptomoedas funcionam de forma semelhante, porém, com um banco de dados decentralizado.

Diferente das moedas tradicionais, as criptomoedas como a bitcoin não são regulamentadas por um governo específico ou instituição financeira . Não há supervisão do governo ou um regulador central da criptomoeda. Ela é decentralizada e gerenciada em múltiplos bancos de dados duplicados simultaneamente através de uma rede de milhões de computadores que não pertencem a uma pessoa ou organização. Além disso, o banco de dados de criptomoeda funciona como um livro contábil digital. Ele usa criptografia para controlar a criação de novas moedas e verificar a transferência de fundos. Durante todo o tempo, a criptomoeda e seus proprietários permanecem completamente anônimos.

A natureza descentralizada e anônima das criptomoedas significam que não há um órgão controlador que decida quantas moedas colocar em circulação. Ao invés disso, a maneira com que a maioria das criptomoedas entra em circulação é através de um processo chamado “mineração.” Sem entrar em muitos detalhes, o processo de mineração basicamente transforma recursos de computação em criptomoeda. No início, qualquer um com um computador poderia minerar criptomoedas, mas isto transformou-se rapidamente em uma corrida armamentista. Atualmente, a maioria dos mineradores usam computadores específicos e potentes que mineram criptomoedas 24 horas por dia . Não demorou muito para que as pessoas buscassem novas maneiras de minerar criptomoedas e surgia assim o cryptojacking. Ao invés de pagar por um caro computador de mineração, os hackers infectam computadores comuns e os utilizam como uma rede para promover seus leilões.

Se as criptomoedas são anônimas, como as pessoas as utilizam?

Os donos de criptomoedas mantêm o dinheiro em “carteiras” virtuais protegidas por chaves privadas. Em uma transação, a transferência de fundos entre proprietários de duas carteiras digitais exige que um registro desta troca seja inserido no livro contábil digital público descentralizado. Computadores especiais coletam dados das mais recentes transações em Bitcoin ou outras criptomoedas a cada 10 minutos aproximadamente e as transformam em uma quebra-cabeça matemático. Ali a transação incorporada ao quebra-cabeça aguarda confirmação.

A confirmação é feita apenas quando os membros de outra categoria de participantes, chamados mineradores, solucionam de forma independente os quebra-cabeças matemáticos complexos para comprovar a legitimidade da transação, concluindo assim a transação do proprietário de uma carteira para outro. Geralmente, um exército de mineradores batalham no quebra-cabeça simultaneamente em um corrida para ser o primeiro com a prova desse quebra cabeça que autentica a transação.

O primeiro minerador a solucionar o problema criptografado recebe um prêmio, geralmente, uma parte da nova criptomoeda. Esta abordagem foi desenvolvida especialmente como um incentivo para aqueles que sacrificam tempo e potência de seus computadores para manter a rede e criar novas moedas. Uma vez que a complexidade dos cálculos do quebra-cabeça aumentou consistentemente no decorrer dos anos (e especialmente para a Bitcoin), os mineradores descobriram que mesmo PCs sofisticados com um processador potente não conseguiam minerar com lucro suficiente para cobrir os custos envolvidos.

Os mineradores intensificaram seus esforços adicionando cartões de vídeo sofisticados, por vezes vários cartões, para lidar com cálculos trabalhosos. Eventualmente, os mineradores que desejavam continuar competitivos criaram fazendas digitais enormes com hardware dedicado para mineração de criptomoedas em escala comercial. É neste cenário que nos encontramos hoje: agentes de criptomoedas significativos investem muito dinheiro em batalhas de alto risco contra outros mineradores a fim de solucionar primeiro o quebra-cabeça e receber o prêmio.

Estar à altura de esforço massivo é uma corrida armamentista extremamente cara, que exige muita potência de processamento e eletricidade para aumentar as chances dos mineradores de terem lucro. Por exemplo, antes da China fechar as fazendas digitais naquele país, as contas de energia elétrica supostamente chegavam a $80.000.

O que é cryptojacking?

Cryptojacking é um esquema que usa os dispositivos de outras pessoas (computadores, smartphones, tablets ou mesmo servidores), sem o consentimento ou conhecimento das mesmas, para secretamente minerar criptomoeda à custa da vítima. Ao invés de criar um computador de mineração de criptomoeda dedicado, os hackers usam cryptojacking para roubar recursos digitais dos dispositivos das vítimas. Ao somar todos estes recursos, os hackers conseguem competir com operações sofisticadas de mineração de criptomoeda sem os custos envolvidos.

Se você for uma vítima de cryptojacking, pode ser que não perceba. A maioria dos softwares de cryptojacking é projetada para ficar oculta dos usuários, mas isto não significa que não esteja produzindo seus efeitos. Este roubo de seus recursos digitais torna seus processos lentos, aumenta a conta de energia elétrica e encurta a via útil de seu dispositivo. Dependendo do quão sutil seja o ataque, você pode observar alguns alertas. Se o seu PC ou Mac fica lento ou usa sua ventoinha mais do que o normal, pode ser que você tenha motivos para suspeitar de cryptojacking.

O motivo por trás do cryptojacking é simples: dinheiro. A mineração de criptomoedas pode ser muito lucrativa, mas fazer lucro é quase impossível sem os meios para cobrir os grandes gastos envolvidos. Para uma pessoa com recursos limitados e moral questionável, cryptojacking é uma maneira eficiente e barata de minerar moedas valiosas.

As notícias mais recentes sobre cryptojacking (mineração maliciosa de criptomoeda)

O relatório Labs CTNT mostra uma mudança no cenário de ameaças para mineração de criptomoeda
A mineração maliciosa de criptomoeda e o dilema da blacklist
O estado da mineração maliciosa de criptomoeda

Como o cryptojacking funciona?

Cryptojackers têm mais de uma maneira de tornar seu computador escravo. Um método funciona como um malware clássico. Você clica em um link malicioso em um e-mail e ele carrega o código de mineração de criptomoeda diretamente em seu computador. Uma vez que seu computador esteja infectado, o cryptojacker começa a trabalhar 24 horas por dia para minerar criptomoedas enquanto permanece oculto em segundo plano. Por residir em seu PC, ele é local—uma ameaça persistente que infectou o próprio computador.

Uma alternativa à abordagem de cryptojacking é chamada, as vezes, de mineração de criptomoeda do tipo drive-by . Semelhante aos exploits de anúncios maliciosos , o golpe envolve incorporar um código JavaScript em sua página da internet. Depois disso, ele realiza a mineração de criptomoeda nas máquinas do usuário que visitam a página.

Nas primeiras ocorrências de mineração de criptomoeda do tipo drive-by, os criadores de conteúdo online foram pegos na febre da procura por bitcoin para complementar suas receitas e ganhar dinheiro com o tráfego pedindo permissão abertamente aos visitantes para minerar criptomoedas enquanto estivessem no site. Eles consideravam esta uma troca justa: você recebe conteúdo gratuito enquanto eles usam seu computador para mineração. Se você estiver em, digamos, um site de jogos, então provavelmente ficará naquela página por algum tempo enquanto o código JavaScript minera por moedas. Depois, ao sair do site, a mineração de criptomoeda também para e libera seu computador. Teoricamente, isto não é tão ruim contanto que o site seja transparente e honesto sobre o que estão fazendo, mas é difícil ter certeza de que os sites estejam agindo corretamente.

Versões mais maliciosas da mineração de criptomoeda do tipo drive-by não pedem permissão e continuam em execução muito tempo depois de você sair do site inicial. Esta é uma técnica comum para donos de sites duvidosos ou hackers que comprometeram sites legítimos. Os usuários nem imaginam que o site visitado está usando o computador deles para minerar criptomoedas. O código usa recursos do sistema suficientes para permanecer oculto. Embora o usuário pense que as janelas do navegador estejam fechadas, uma janela oculta continua aberta. Geralmente é uma pop dimensionada para ficar sob a barra de tarefa ou atrás do relógio.

A mineração de criptomoeda do tipo drive-by pode infectar até mesmo seu dispositivo móvel Android. Ela funciona com os mesmos métodos que têm como alvo os desktops. Alguns ataques ocorrem por meio de um Trojan oculto em um aplicativo baixado. Ou os telefones dos usuários podem ser redirecionados para um site infectado que mantém uma pop-up oculta persistente. Há ainda um Trojan que invade telefones Android com um instalador tão nefasto que ele pode esgotar o processador a ponto de superaquecer o telefone, o que o torna um estorvo para a bateria e, essencialmente, inutiliza seu Android . Bem, é isto.

Você pode estar pensando “Por que usar meu telefone e sua potência de processamento que nem é tão significativa?” Mas quando estes ataques acontecem em massa, quanto maior o número de smartphones disponíveis maior a força coletiva que chama a atenção dos cryptojackers.

Alguns profissionais em segurança cibernética enfatizam que diferente da maioria dos malware, os scritps de cryptojacking não danifica os computadores ou os dados da vítima. Contudo, o roubo de recursos da CPU tem consequências. Certamente que o desempenho mais lento do computador pode ser um incômodo para um usuário individual. Mas para empresas de grande porte que tenham tido muitos sistemas cryptojacked, há custos reais. Custos de eletricidade, custos de mão de obra de TI e oportunidades perdidas são algumas das consequências do que acontece quando uma empresa é afetada por cryptojacking do tipo drive-by .

Qual a incidência de cryptojacking?

Cryptojacking é relativamente novo, mas já é uma das ameaças online mais comuns. Em um blog Malwarebytes recente, nossa equipe de inteligência informa que desde setembro de 2017, a mineração maliciosa de criptomoeda (outro termo para cryptojacking) tem sido o malware mais comumente detectado por nós. No mês seguinte, em um artigo publicado em outubro de 2017, a Fortune sugeriu que cryptojacking é a próxima grande ameaça em segurança no universo online. Mais recentemente, vimos um aumento de 4000 por cento em detecções de malware de cryptojacking baseado em Android no primeiro trimestre de 2018.

Além disso, os cryptojackers continuam a intensificar suas ações, invadindo hardware cada vez mais potente. Um exemplo é um incidente em que os criminosos cryptojacked a rede de tecnologia operacional de um sistema de controle de utilidades de água europeu, degradando a habilidade dos operadores de gerenciar a fábrica de utilidades. Em outra ocorrência no mesmo relatório, um grupo de cientistas russos supostamente usou o supercomputador em suas instalações de pesquisa e ogiva nuclear para minerar Bitcoin.

Por mais impressionantes que sejam estas intrusões, o cryptojacking de dispositivos pessoais continua o problema mais predominante, uma vez que o roubo de pequenas quantidades de muitos dispositivos pode resultar em grandes somas de dinheiro. Na verdade, os criminosos preferem cryptojacking a ransomware (o qual também conta com criptomoeda para pagamento anônimos de resgastes), pois potencialmente ele paga mais dinheiros aos hackers por menos riscos.

Como me proteger de cryptojacking?

Sempre que você sofre um cryptojack localmente em seu sistema ou através de navegador, pode ser difícil detectar manualmente a intrusão depois do ocorrido. De forma semelhante, descobrir a origem da alta utilização da CPU pode ser difícil. Processos podem estar se escondendo ou mascarados como algo legítimo a fim de impedir que você interrompa o abuso. Como uma forma de bônus para os cryptojackers, quando seu computador está operando em sua capacidade máxima, ele irá operar extremamente lento e, desta forma, será mais difícil localizar o problema. Assim como todas as outras precauções em relação a malware, é muito melhor instalar a segurança antes de se tornar uma vítima.

Uma opção óbvia é bloquear o JavaScript no navegador que você usar para navegar na internet. Embora ele interrompa a cryptojacking do tipo drive-by , isto poderá também bloquear algumas funções de que você gosta e precisa. Há também programas especializados, como o “No Coin” e “MinerBlock,” que bloqueiam atividades de mineração em navegadores populares. As duas extensões são para Chrome, Firefox e Opera. As versões mais recentes do Opera possui até mesmo o NoCoin integrado a ela.

Contudo, nossa sugestão é evitar uma solução integrada específica e buscar um programa de segurança cibernética mais abrangente. Malwarebytes, por exemplo, protege você muito mais do que apenas cryptojacking. Ele previne também malware, ransomware e diversas outras ameaças online. Independente dos invasores tentarem usar malware, download do tipo drive-by baseado no navegador ou Trojan, você estará protegido contra cryptojacking.

No cenário de uma ameaça que está em constante mutação, permanecer protegido contra as ameaças mais recentes como cryptojacking é um trabalho em tempo integral. Com a Malwarebytes, você terá os meios para detectar e limpar qualquer tipo de intrusão e garantir que os recursos de seu computador continuem sendo apenas seus.