What is Crypto Malware?

Em algumas plataformas blockchain, como Bitcoin ou Monero, os mineradores podem ganhar dinheiro realizando operações computacionalmente dispendiosas. Cryptojackers ou criptomineradores são malware que infectam um computador e usam seu poder computacional para realizar esses cálculos e ganhar dinheiro.

Solicite uma demo Relatório de tendências ciberataque

Como funciona

Blockchains usam vários algoritmos de consenso para garantir que o processo de criação de blocos seja descentralizado. Em blockchains como Bitcoin, Monero e muitos outros, o algoritmo de consenso usado é Prova de Trabalho (PoW).

No PoW, um bloco válido é definido como aquele cujo cabeçalho faz hash para um valor menor que um valor específico. Como as funções hash são imprevisíveis, a única maneira de encontrar um bloco válido é tentar várias opções e tentar encontrar a correta. No caso do Bitcoin, o limite é definido para que toda a rede trabalhando em conjunto encontre um bloco válido a cada dez minutos, em média. Qualquer minerador que encontrar o bloco válido receberá a recompensa.

O malware criptográfico infecta um computador e o utiliza para realizar a busca por possíveis bloqueios. Se o malware encontrar um bloco válido, o invasor poderá enviá-lo e receber a recompensa.

Exemplos de malware criptográfico

A popularidade do malware de criptomineração cresceu porque fornece aos cibercriminosos uma maneira de ganhar dinheiro diretamente com o controle de um sistema. Alguns dos principais exemplos de malware criptográfico descritos no relatório semestral de tendências ciberataque de 2022 da Check Point incluem:

XMRig: XMRig é um malware de criptojacking de código aberto que é comumente incorporado a outros tipos de malware. Ele foi projetado para extrair a criptomoeda Monero ou Bitcoin.
Rubyminer: Rubyminer foi descoberto em janeiro de 2018 e se concentra em servidores, tanto Windows quanto Linux. Rubyminer procura servidores web vulneráveis e entrega XMRig para minerar Monero.
LemonDuck: O malware LemonDuck surgiu em 2018 e usa vários métodos de propagação, incluindo malspam, exploração de vulnerabilidade e uso de credenciais comprometidas para fazer login via RDP. Além de minerar criptomoedas, ele também coleta credenciais de e-mail e entrega outros malware aos computadores infectados.
Darkgate: Darkgate é uma variante de malware descoberta pela primeira vez em dezembro de 2017 que visa principalmente sistemas Windows. Este malware combina múltiplas funções, incluindo criptografia, ransomware, roubo de credenciais e funcionalidade de trojan de acesso remoto (RAT).
WannaMine: WannaMine extrai a criptomoeda Monero. Este criptominerador é um worm que se espalha usando EternalBlue e usa assinaturas de eventos permanentes do Windows Management Instrumentation (WMI) para obter persistência em um sistema.

Como detectar malware de criptografia

O malware de criptomineração é projetado para consumir um poder de processamento significativo enquanto tenta candidatos potenciais para um cabeçalho de bloco. Como resultado, um computador infectado pode exibir um dos dois sinais a seguir:

Aumento do consumo de recursos.
Lentidão de computadores e servidores

Como prevenir ataques de malware criptográfico

O malware de criptomineração pode ser lucrativo porque dá aos invasores acesso a uma grande quantidade de poder de processamento para usar na mineração de criptomoedas. No entanto, isto acontece às custas das empresas que pagam a conta da atividade mineira que ocorre nos seus sistemas. Algumas medidas que uma empresa pode tomar para evitar que seus sistemas sejam cooptados para criptomineração incluem:

Aplicativo de patch e sistemas: Diversas variantes de malware de criptomineração são entregues através da exploração da vulnerabilidade nos sistemas de uma organização. A aplicação imediata de patches para fechar essas falhas de segurança pode reduzir a probabilidade de infecção.
Patch virtualmente com IPS: corrigir todas as vulnerabilidades é inviável para a maioria das organizações. O Sistema de prevenção de intrusão (Intrusion Prevention System, IPS) (IPS) pode ajudar a dimensionar programas de patch, bloqueando tentativas de exploração contra sistemas vulneráveis.
Implementar MFA: o uso de credenciais comprometidas em RDP ou outras plataformas de acesso remoto é outro vetor comum de distribuição de malware. A implementação de autenticação forte e a implantação de Autenticação multifatorial (MFA) podem tornar mais difícil para os invasores usarem essas credenciais comprometidas.
Implante proteção de dia zero: O malware de criptomineração pode ser um negócio lucrativo e os cibercriminosos investem recursos significativos para evitar a detecção. Os recursos de detecção de malware de dia zero são essenciais para evitar que malware criptográfico obtenha acesso aos sistemas de uma organização e roube seus recursos.
Proteja a nuvem: Os sistemas baseados em nuvem são um alvo comum para criptomineradores devido ao seu poder de processamento flexível e escalável e à visibilidade limitada para as equipes de TI. As empresas devem tomar cuidado especial ao bloquear esses sistemas para protegê-los contra criptomineradores.

Plataforma Harmony Suite e XDR da Check Point

Os criptomineradores são uma das várias ameaças de malware que as empresas enfrentam atualmente. Saiba mais sobre o cenário em evolução das ameaças cibernéticas no relatório Ciberataque Trends Mid-Year 2022.

Check Point Infinity XDR and Harmony Endpoint provide defense-in-depth against cryptominers and other malware. XDR provides network-level threat visibility and centralized control across an organization’s entire IT architecture, and Harmony Endpoint identifies and remediates malware infections on the endpoint. Learn more about improving your organization’s defenses against crypto malware by requesting a free demo of Harmony Endpoint today.