Posted on By Author Thiago Gonçalves Categories Informações, Security, SonicWall

Apocalipse do cryptojacking: como derrotar os quatro cavaleiros da mineração de criptomoedas

Apesar das flutuações de preços do bitcoin e de outras criptomoedas, o cryptojacking continua sendo uma ameaça grave — e muitas vezes oculta — para negócios, empresas de pequeno e médio porte e consumidores em geral.

E a mais discreta dessas ameaças é a mineração de criptomoedas pelo navegador, na qual formas populares de malware tentam transformar seu dispositivo em um robô de mineração de criptomoedas em tempo integral, chamado cryptojacker.

Para ajudá-lo a entender essa tendência de forma criativa, vou recorrer a meu treinamento clássico e exagerar um pouco. Se você olhar para a onda do cryptojacking como um apocalipse, assim como algumas de suas vítimas, os Quatro Cavaleiros seriam as quatro ameaças ao endpoint ou aos negócios:

  • Cavalo Branco: a energia que ele consome ou desperdiça
  • Cavalo Vermelho: a perda de produtividade pela limitação de recursos
  • Cavalo Preto: os danos que ele pode causar a um sistema
  • Cavalo Amarelo: as implicações de segurança decorrentes das vulnerabilidades criadas

Ao contrário do ransomware, que quer ser encontrado (para pedir pagamento), o cryptojacker é executado em segundo plano de forma invisível (mesmo que o gráfico de desempenho da CPU ou a ventoinha do dispositivo indique que algo esteja estranho).

Os criadores de ransomware mudaram de rumo ao longo dos últimos dois anos e passaram a usar mais o cryptojacking, pois a eficácia e o ROI de um determinado tipo de ransomware diminuem assim que ele é exposto em feeds públicos como o VirusTotal.

Como qualquer outra pessoa que administra um negócio altamente lucrativo, os cibercriminosos precisam sempre buscar novas maneiras de atender as suas metas financeiras. O cryptojacking está sendo usado para lidar com esse desafio.

Em abril de 2018, a SonicWall começou a acompanhar as tendências do cryptojacking, mais precisamente a utilização do Coinhive no malware. Ao longo do ano, observamos o recuo e o avanço do cryptojacking. Durante esse tempo, a SonicWall registrou quase 60 milhões de ataques de cryptojacking, com até 13,1 milhões em setembro de 2018. Conforme publicado no Relatório de Ameaças Cibernéticas da SonicWall 2019, o volume caiu durante o último trimestre de 2018.

Ataques globais de cryptojacking | De abril a setembro de 2018

A sedução da mineração de criptomoedas

As operações de mineração de criptomoedas tornaram-se cada vez mais populares, atualmente representando quase 0,5% do consumo de eletricidade no mundo. Apesar das fortes oscilações no preço, cerca de 60% do custo da mineração legítima de bitcoin é resultado de consumo de energia. Na verdade, enquanto eu escrevia este texto, o preço de um bitcoin era inferior ao custo da mineração legítima.

Com esses custos e risco zero em relação à compra e à manutenção de equipamentos, os cibercriminosos têm fortes incentivos para gerar criptomoedas com os recursos de outra pessoa. Dez máquinas infectadas com um cryptominer podem render até US$ 100 por dia; assim, o desafio para os cryptojackers é triplo:

  1. Encontrar alvos, ou seja, organizações com muitos dispositivos na mesma rede, especialmente escolas ou universidades.
  2. Infectar o maior número de máquinas possível.
  3. Manter seu caráter oculto durante o máximo de tempo possível (ao contrário do ransomware e mais semelhante ao malware tradicional).

Os cryptojackers utilizam técnicas semelhantes àquelas do malware para entrar sorrateiramente em um endpoint: downloads por direcionamento, campanhas de phishing, vulnerabilidades no navegador e plugins do navegador, entre outras. E, claro, eles miram no elo mais fraco — as pessoas — por meio de técnicas de engenharia social.

Estou infectado por cryptominers?

Os cryptominers estão interessados em seu poder de processamento, e o lucro dos cryptojackers depende do que eles roubam. A quantidade de recursos que eles obtêm de sua CPU depende dos objetivos.

Quanto menos energia é consumida, mais difícil é para os usuários desprevenidos perceberem. Roubos maiores aumentam os lucros. Em ambos os casos, o desempenho será afetado; mas, se o limiar for baixo o suficiente, poderá ser difícil distinguir um minerador de um software legítimo.

Os administradores de empresas podem procurar processos desconhecidos no ambiente, e os usuários finais do Windows devem abrir o Sysinternals Process Explorer para ver o que estão executando. Pelo mesmo motivo, os usuários do Linux e do MacOS devem investigar usando o Monitor do Sistema e o Monitor de Atividade, respectivamente.

Como defender-se contra cryptominers

O primeiro passo na defesa contra cryptominers é deter esse tipo de malware no gateway, seja com firewalls, seja com segurança de e-mail (segurança do perímetro), que é uma das melhores maneiras de remover ameaças de arquivos conhecidas.

Como as pessoas gostam de reutilizar códigos antigos, capturar cryptojackers como o Coinhive também seria um primeiro passo simples. No entanto, o Coinhive anunciou publicamente, em fevereiro de 2019, que encerraria as operações no dia 8 de março. O serviço declarou que já não era “economicamente viável” e que a “quebra” havia afetado gravemente o negócio.

Apesar da notícia, a SonicWall prevê que ainda haverá uma onda de novas variantes e técnicas de cryptojacking para preencher essa lacuna. O cryptojacking ainda pode se tornar o método favorito de agentes mal-intencionados em razão de seu caráter oculto; danos pequenos e indiretos às vítimas reduzem a possibilidade de exposição e prolongam o valioso tempo de vida de um ataque bem-sucedido.

Se o tipo de malware for desconhecido (novo ou atualizado), ele contornará os filtros estáticos na segurança do perímetro. Se um arquivo for desconhecido, ele será encaminhado a uma área restrita para que seja feita a inspeção da natureza do arquivo.

O sandbox multimotor Capture Advanced Threat Protection (ATP) da SonicWall é projetado para identificar e deter o malware evasivo que pode escapar de um motor, mas não dos outros.

Se você não tem um endpoint nesse cenário comum (por exemplo, em roaming no aeroporto ou no hotel), precisará implantar um produto de segurança de endpoint que inclua detecção de comportamento.

Os cryptominers podem operar no navegador ou ser distribuídos por meio de um ataque sem arquivo, de modo que as soluções legadas que você recebe gratuitamente com um computador não consigam detectá-los.

Um antivírus baseado em comportamento, como o SonicWall Capture Client, detectaria que o sistema quer fazer mineração de moedas e, em seguida, encerraria a operação. Um administrador pode facilmente colocar o malware em quarentena e excluí-lo ou, no caso de algo realmente causar danos aos arquivos do sistema, retornar o sistema para o último estado seguro detectado antes da execução do malware.

Com uma combinação de defesas de perímetro e análise comportamental, as organizações podem combater as mais recentes formas de malware, independentemente de qual seja a tendência ou a intenção.

 

 

Posted on By Author Thiago Gonçalves Categories Digital, Informações, Security, SonicWall

Conheça as ameaças criptografadas

Como criminosos cibernéticos ocultam ataques na sua rede com SSL/TLS

 

Resumo

A tecnologia de criptografia, como SSL/TLS e HTTPS, oferece proteção contra hackers e seu uso cresce exponencialmente. Mas os criminosos cibernéticos aprenderam a aproveitar a criptografia como um método eficaz para ocultar malware, ransomware, spear-phishing, zero-day, extração de dados, sites invasores e outros ataques. Felizmente, a segurança de rede avançada com inspeção profunda de pacotes de tráfego SSL/TLS e HTTPS estáagora disponível para proteger contra ameaças criptografadas.

Tipos de ameaças criptografadas

A criptografia oferece proteção para tráfego legítimo, assim como meios para que ataques cibernéticos passem despercebidos. Em termos simples, o SSL (Secure Sockets Layer) Camada de Conexão Segura pode cria um túnel criptografado para proteger dados através de um VPN. O TLS (Transport Layer Security) é uma versão atualizada e mais segura do SSL. O HTTPS (Hyper Text Transfer Protocol Secure) aparece no URL quando um site é protegido por um certificado SSL.

Existem várias categorias de ameaças criptografadas. Uma categoria inclui ameaças como vulnerabilidades de certificados. Nesse caso, quando você estiver usando um site, poderá ver um alerta no seu navegador ou uma aplicação com uma mensagem de que a conexão foi determinada como insegura ou não confiável.  Nessas situações, a certificação não foi aprovada. A Certificate Authority pode estar inacessível ou o certificado pode ser inválido. Ou a criptografia é menor do que a desejável, independentemente de ser uma forma mais antiga de SSL (já desvalorizada), uma forma inferior de TLS ou assinaturas e hashes que não correspondem aos padrões de criptografia atuais.

Outra categoria de ameaça criptografada inclui malware que incorpora todas comunicações dentro de um túnel criptografado, para que ele possa passar pela segurança da sua rede. Exemplos de aplicações que ofuscam seu tráfego e comunicações de forma deliberada incluem Psiphon, Tor e Ultrasurf.

Também há violações reais do tráfego criptografado, malware que rouba credenciais, como DROWN, Heartbleed, PODDLE e FREAK. Elas são exploits que aproveitam a própria criptografia para jogar man-in-the-middle e interceptar seus e-mails, credenciais, informações privadas, dados de transações on-line, etc. Quando esse tipo de ataque compromete sua rede, ele pode ser usado contra você posteriormente ou incorporar a ameaça dentro das próprias comunicações ao encaminhá-lo a sites de terceiros ou injetar aplicações mal-intencionadas nas suas conexões do navegador.

A história das ameaças criptografadas

Entenda a história para saber o que é realmente necessário para se proteger contra essas ameaças. O modelo de segurança de firewall legado dos anos 90 e início dos anos 2000 é a tecnologia Stateful Packet Inspection (SPI). Na verdade, ainda existem milhões de firewalls SPI na Internet hoje em dia.

O SPI é semelhante a um oficial de trânsito que pode parar ou permitir o tráfego em uma interseção. O oficial só pode ver informações externas sobre os veículos, como marca e modelo, placa do carro e a direção em que os veículos se movem, mas nada que esteja escondido no banco de trás, sob o capô ou no portamalas. Então, se houver algo mal-intencionado escondido nesses lugares, o policial não saberá.

Em contrapartida, o Deep Packet Inspection (DPI), que forma a base para os firewalls de última geração, permite que os firewalls inspecionem na camada 7. É como se o nosso agente de trânsito tivesse uma visão de raio-x para ver esses lugares escondidos nos veículos e então decidir qual pode passar ou não.

No entanto, com essa analogia, a visão de raio-x do policial ainda não consegue enxergar através do lead (que nesse caso é o HTTPS). Para superar essa limitação, o DPI deve incluir a capacidade de inspecionar o tráfego SSL criptografado (DPI-SSL).

O enorme crescimento do tráfego HTTPS criptografado

Seja devido ao “efeito Snowden”, ao escândalo de espionagem da NSA ou simplesmente aos melhores esforços para proteger a privacidade on-line contra possíveis invasores e ladrões, uma quantidade significativa do tráfego da Internet hoje é criptografado via HTTPS.

Uma conexão HTTPS é essencialmente uma conexão segura ou privada da aplicação iniciadora (geralmente um navegador) até a rede e a Internet ao servidor ou site de destino. Essas conexões HTTPS incluem webcasts, pesquisas on-line, aplicações de produtividade cloud-based, e-mail baseado na Web, etc. HTTPS é basicamente uma VPN. É uma conexão da Web criptografada do seu navegador até o destino. Por ser uma VPN, você não pode ver dentro dela. Não é possível inspecionar o tráfego que passa pelo HTTPS, determinar a chegada de um malware prejudicial ou o vazamento de dados confidenciais da rede.

A Internet se move rapidamente na direção de um modelo completamente criptografado. Agora existem grandes iniciativas para “criptografar tudo” e até mesmo os principais mecanismos de pesquisa alteraram seus algoritmos para priorizar sites HTTPS em seus resultados. Por exemplo, um varejista on-line pode ter dezenas de milhares de cliques por mês mais do que outro, mas se não estiver usando HTTPS em sua página de entrada, os resultados da pesquisa o colocarão abaixo do concorrente de desempenho inferior, mas que usa HTTPS em sua página de entrada.

Mais da metade das aplicações da Web estão agora em HTTPS. Todas as principais aplicações, como Office 365, YouTube, Amazon, SAP, Salesforce, Skype, Dropbox, Twitter e Gmail, usam criptografia. Analistas líderes preveem que até o próximo ano, 65% do tráfego mundial da Internet será criptografado. Para colocar isso em perspectiva, se você tiver uma conexão de Internet de 100 Mbps, cerca de 65 Mbps desse tráfego não será inspecionado. Ao longo de uma hora, são cerca de quatro a sete DVDs de dados transferidos sem inspeção. Em algumas redes, a quantidade total de dados confidenciais de propriedade pessoal e intelectual pode ser inferior a isso. Considere o impacto de não conseguir ver todos esses dados que entram ou saem da sua rede

E isso é apenas tráfego típico da Internet. A implementação média de HTTPS é de 60 a 80%, dependendo do setor. Por exemplo, se você for do setor financeiro, jurídico ou de saúde, a maioria dos seus sites já está criptografado.

Uso criminal de criptografia

Enquanto o tráfego criptografado aumenta a segurança nas comunicações diárias, os criminosos cibernéticos aproveitam a privacidade do HTTPS para ocultar seus ataques. Eles aprenderam a manipular a criptografia para contornar a maioria das soluções de firewall legadas. Dessa forma, grande parte do tráfego HTTPS de hoje em dia não é inspecionado, e até mesmo os firewalls comprados recentemente podem não ser capazes de inspecionar o volume do tráfego criptografado atual. Com a maioria do tráfego invisível ao seu firewall, não é uma questão de se ou mesmo quando. Provavelmente a sua rede já foi comprometida.

As violações no Yahoo, IRS e Ashley Madison que saíram nas manchetes envolviam criptografia. Em um caso, mais de um bilhão de contas de e-mail comprometidas resultaram de um único e-mail criptografado por um único funcionário. Da mesma forma, a violação do OPM (na qual mais de 20 milhões de pessoas tiveram suas informações confidenciais vazadas on-line) teve origem em um único download de e-mail pessoal que não foi inspecionado e continha malware. O tráfego criptografado pode conter malware, dados confidenciais vazados de forma acidental ou intencional ou um ataque de spear-phishing contra o CFO para que ele envie um pagamento por transferência eletrônica. Veja a seguir apenas alguns exemplos de ameaças ocultas no tráfego criptografado.

Malware criptografado por e-mail

Como você impede que um usuário clique em um anexo de e-mail que libera malwares em sua rede? No caso do malware, como o Cryptolocker, ele contém um payload mal-intencionado baixado dentro do webmail ou de outras comunicações criptografadas. Se estiver criptografado, você não poderá inspecioná-lo, controlá-lo e bloqueá-lo. Para bloquear e-mails mal-intencionados, ou seus anexos ou links clicados, você precisaria ser capaz de capturar o tráfego criptografado, descriptografá-lo e inspecioná-lo.

Ransomware criptografado

O principal tipo de malware criptografado atualmente é o ransomware (como WannaCry, CryptoLocker, Zeus, Chimera e Tesla). O ransomware faz uso da criptografia de várias maneiras. A primeira é a entrega real do ransomware em uma comunicação criptografada, seja ela um e-mail, sites de redes sociais, aplicações de mensagens instantâneas ou mensagens de texto. Uma vez entregue por meio de comunicação criptografada, o ransomware geralmente é executado e, em seguida, passa para um servidor de comando e controle (C&C) dentro de outra comunicação criptografada. Portanto, além de a entrega do payload real ser criptografado, as comunicações voltam ao servidor C&C.

Ataques de spear-phishing criptografados

Em um ataque típico de spear-phishing, um usuário faz login em seu e-mail criptografado, abre um e-mail de spear phishing que parece ser de um colega de confiança, clica em um link HTTPS e executa um arquivo baixado. Os dados do notebook desse usuário são imediatamente criptografados e tornados inacessíveis. Uma tela de aviso solicita o pagamento de um resgate para acessar o arquivo.

De acordo com a US-CERT, mais de US$ 5 bilhões foram desviados das empresas no ano passado devido a ataques de phishing e whaling. O FBI estima que essas perdas tenham ultrapassado US$ 1 trilhão desde 2014. O FACC foi comprometido em US$ 54 milhões em um único ataque de phishing.3 E esses ataques continuam diariamente.

Sites mal-intencionados criptografados

Só porque um site é criptografado com HTTPS não significa que ele seja seguro. Muitos sites criptografados são mal intencionados e contêm ameaças zero-day sem assinaturas de firewall correspondentes. Sem essas assinaturas, o firewall pode não reconhecer o malware correspondente no site. Recentemente, a US-CERT relatou 19 novos CVEs (Common Vulnerabilities and Exposures) dentro do sistema operacional Google Android em uma semana, inclusive 11 vulnerabilidades altas e 7 críticas.

Ataques zero-day criptografados

Embora você tenha uma solução antivírus muito eficiente em sua rede, não terá sempre as assinaturas a tempo de se proteger contra exploits de zero-day. Um malware de zero-day é um código que foi escrito talvez momentos antes do ataque e nunca foi visto antes, portanto, nenhum firewall tem uma assinatura para ele e a capacidade de evitá-lo. O malware pode realmente entrar na rede e desativar o cliente de antivírus. As primeiras linhas de código do vírus são projetadas para desativar a solução antivírus e, em seguida, o malware é detonado. A US-CERT informou recentemente que até mesmo o Microsoft Defender AV integrado foi comprometido para permitir a exploração externa.

 

 

Para maiores informações, entre em contato conosco!