Arquivo de etiquetas Minerador de Criptomoedas

PorWagner Lindemberg

Quase um milhão de computadores ainda são vulneráveis a ataques EternalBlue

Ataques de mineração de criptomoeda usando ferramentas da NSA ainda são muito utilizadas um ano depois.

Há cerca de um ano, uma série de ferramentas criadas pela NSA (Agência Nacional de Segurança dos Estados Unidos) foram roubadas e publicadas online — e até hoje elas ainda estão sendo utilizadas por hackers na criação de ransomwares e malwares que mineram criptomoedas.

Uma dessas ferramentas, chamada de EternalBlue, é capaz de invadir praticamente qualquer máquina que utilize Windows. Uma de suas principais utilizações é na criação de ransomwares, que se espalham rapidamente por toda a rede assim que um único computador é infectado, dominando não só computadores, mas qualquer dispositivo que esteja conectado a ela.

Ataques desse tipo já custaram centenas de milhões de dólares para uma série de empresas afetadas pela praga. Mas, mais de um ano depois de a Microsoft ter lançado patches que corrigem as falhas utilizadas pelo EternalBlue, ainda há quase um milhão de computadores e redes vulneráveis a ele.

E, mesmo que as infecções por ransomwares que utilizam a ferramenta tenham diminuído, os hackers ainda a utilizam para infectar computadores com malwares que fazem essas máquinas minerar bitcoins para eles.

É fácil se proteger

De acordo com dados da empresa de segurança eletrônica Cybereason, o único motivo para esse tipo de vírus ainda afetar tantas empresas é o fato de elas não atualizarem seus softwares. Segundo dados da Shodan (um mecanismo de pesquisa utilizado para encontrar quantos computadores e bancos de dados possuem portas abertas que podem ser usadas por um hacker), existem mais de 900 mil servidores que ainda estão vulneráveis aos ataques do EternalBlue.

Na semana passada, a Cybereason foi contratada para resolver um problema em uma empresa que, segundo eles, não pode ser nomeada por motivos contratuais, mas que é uma multinacional que faz parte da lista das 500 maiores empresas da revista Fortune. A companhia em questão foi atingida por um vírus chamado WannaMine, que transforma os computadores da rede em máquinas para a mineração de bitcoins. De acordo com a Cybereason, assim que a primeira máquina foi infectada, o vírus rapidamente se espalhou e se apoderou de mais de mil máquinas em um único dia.

Isso acontece por causa do modo como o WannaMine funciona. Ao utilizar o EternalBlue para penetrar em uma rede, o vírus passa a tentar infectar qualquer computador que esteja conectado a ela — e faz isso de modo persistente, então mesmo que um computador seja desligado, o vírus continuará tentando infectá-lo assim que ele for ligado novamente. Quando se espalha pela rede, ele modifica as configurações de energia de todas as máquinas, impedindo-as de serem desligadas e desativando qualquer outro processo de mineração de criptomoeda que possa estar rodando ali, fazendo com que o computador se dedique exclusivamente à mineração.

A solução para se proteger dessa ferramenta é simples: basta estar em dia com as atualizações do Windows para que o EternaBlue não faça nada contra sua máquina. E, do modo como ele ainda é utilizado em larga escala, é melhor fazer isso antes que os hackers achem um jeito de usar essa ferramenta para algo mais perigoso do que minerar criptomoedas, como, por exemplo, roubar todas as senhas de todos os computadores conectados a uma rede.

Fonte: techcrunch.

PorWagner Lindemberg

PowerGhost: Redes corporativas são alvo de novo minerador de criptomoedas

Especialistas de segurança da Kaspersky Lab identificaram um novo minerador de criptomoedas. Esta descoberta ocorre no momento em que a corrida pelas criptomoedas está crescendo, o que tem provocado um aumento correspondente no número de malwares do tipo cryptojacking (quando o invasor utiliza secretamente outro computador para realizar a mineração das criptomoedas para si próprio). Por isso não é surpresa nenhuma que um novo minerador tenha sido identificado. A bola da vez é um cryptominer que recebeu o apelido de PowerGhost.

Mas o PowerGhost é único por dois motivos:

  1. O foco dele é o ataque em redes corporativas;
  2. É fileless, ou seja, sem arquivo. Isso permite que o minerador possa minerar criptomoedas em servidores e estações de trabalho sem ser notado.

O reinado de terror do PowerGhost acaba de começar, e até o momento, foram relatados ataques na Turquia, Índia, Colômbia e Brasil.

Ações executadas por este minerador de criptomoedas

A primeira etapa é entrar na infraestrutura de computadores da empresa, e por meio da ferramenta Windows Management Instrumentation, tentar acessar as contas dos usuários.

Trabalhando em conjunto com o Mimikatz (uma ferramenta para extração de dados), o PowerGhost obtém as credenciais do usuário, que podem ser utilizadas para efetuar logon no sistema. Após conceder mais privilégios a si mesmo, o malware sequestra o sistema e inicia o processo de mineração.

O minerador tende a ficar mais tempo em um sistema, porque é difícil de ser detectado. Funciona furtivamente ao não baixar nenhum software que possa alarmar a sua presença no sistema. Ele também pode verificar se está sendo executado em um sistema operacional real ou em uma sandbox, permitindo que ele burle as soluções de segurança padrão.

O efeito

Mineradores de criptomoedas executam ações interessantes, como por exemplo utilizar o poder de processamento de seu sistema para assim minerar criptomoedas. Isso resulta em uma drástica redução de desempenho do servidor. Pode ocorrer o superaquecimento de dispositivos, aumentando o desgaste, e consequentemente aumentar os custos para reposição.

Uma versão do PowerGhost possui uma ferramenta para a realização de ataques de negação de serviço distribuído (DDoS).

O que fazer?

O PowerGhost deve ser tratado com um malware, e medidas de segurança precisam ser tomadas. O minerador explora vulnerabilidades antigas, que já foram corrigidas, então certifique-se de ter instalado as atualizações mais recentes em seu sistema operacional. Educar usuários e funcionários sobre os riscos de segurança ajudará a criar um ambiente com mais segurança.

Fonte: Latest Hacking News, Kaspersky, O Analista.