PowerGhost: Redes corporativas são alvo de novo minerador de criptomoedas
Especialistas de segurança da Kaspersky Lab identificaram um novo minerador de criptomoedas. Esta descoberta ocorre no momento em que a corrida pelas criptomoedas está crescendo, o que tem provocado um aumento correspondente no número de malwares do tipo cryptojacking (quando o invasor utiliza secretamente outro computador para realizar a mineração das criptomoedas para si próprio). Por isso não é surpresa nenhuma que um novo minerador tenha sido identificado. A bola da vez é um cryptominer que recebeu o apelido de PowerGhost.
Mas o PowerGhost é único por dois motivos:
- O foco dele é o ataque em redes corporativas;
- É fileless, ou seja, sem arquivo. Isso permite que o minerador possa minerar criptomoedas em servidores e estações de trabalho sem ser notado.
O reinado de terror do PowerGhost acaba de começar, e até o momento, foram relatados ataques na Turquia, Índia, Colômbia e Brasil.
Ações executadas por este minerador de criptomoedas
A primeira etapa é entrar na infraestrutura de computadores da empresa, e por meio da ferramenta Windows Management Instrumentation, tentar acessar as contas dos usuários.
Trabalhando em conjunto com o Mimikatz (uma ferramenta para extração de dados), o PowerGhost obtém as credenciais do usuário, que podem ser utilizadas para efetuar logon no sistema. Após conceder mais privilégios a si mesmo, o malware sequestra o sistema e inicia o processo de mineração.
O minerador tende a ficar mais tempo em um sistema, porque é difícil de ser detectado. Funciona furtivamente ao não baixar nenhum software que possa alarmar a sua presença no sistema. Ele também pode verificar se está sendo executado em um sistema operacional real ou em uma sandbox, permitindo que ele burle as soluções de segurança padrão.
O efeito
Mineradores de criptomoedas executam ações interessantes, como por exemplo utilizar o poder de processamento de seu sistema para assim minerar criptomoedas. Isso resulta em uma drástica redução de desempenho do servidor. Pode ocorrer o superaquecimento de dispositivos, aumentando o desgaste, e consequentemente aumentar os custos para reposição.
Uma versão do PowerGhost possui uma ferramenta para a realização de ataques de negação de serviço distribuído (DDoS).
O que fazer?
O PowerGhost deve ser tratado com um malware, e medidas de segurança precisam ser tomadas. O minerador explora vulnerabilidades antigas, que já foram corrigidas, então certifique-se de ter instalado as atualizações mais recentes em seu sistema operacional. Educar usuários e funcionários sobre os riscos de segurança ajudará a criar um ambiente com mais segurança.
Fonte: Latest Hacking News, Kaspersky, O Analista.
Cryptojacking Cryptominer Malware Minerador de Criptomoedas Segurança da Informação