O grupo de hackers tem um modus operandis sofisticado e conseguiu ganhar pelo menos 7 milhões de dólares nos últimos meses de 2017
Os analistas do Kaspersky Lab descobriram que os cibercriminosos estão a utilizar métodos e técnicas de infecção sofisticados, que “pediram emprestados” a outros tipos de ataques direccionados, desta feita com o objectivo de instalar software de mineração comprometendo PC nas organizações.
O grupo que mais sucesso tem tido, segundo a observação da empresa de cibersegurança, ganhou pelo menos sete milhões de dóares através da exploração das suas vítimas, em apenas seis meses, durante 2017. O mercado das criptomoedas tem-se pautado por altos e baixos mas, o ano passado, com a valorização acelerada da Bitcoin, acabou por ter um grande impacto quer nos mercados financeiros, quer no mundo da cibersegurança.
Com o objectivo de ganhar criptomoedas, os criminosos passaram a utilizar software de mineração nos seus ataques que, tal como o ransomware, tem um modelo de monetização simples. Mas, ao contrário do ransomware, que afecta destrutivamente os utilizadores, a nova ameaça prefere passar despercebida e pode funcionar durante muito tempo sem ser detectada ao utilizar silenciosamente as capacidades do PC.
Em Setembro de 2017, o Kaspersky Lab registou um crescimento dos mineiros que começaram activamente a espalhar-se pelo mundo e previu o seu desenvolvimento futuro. A mais recente pesquisa revela que este crescimento não só continuou, como aumentou e aumentou a sua abrangência.
Os analistas do Kaspersky Lab identificaram recentemente um grupo de cibercriminosos que utiliza ferramentas como técnicas APT (ameaça persistente avançada) para infectar utilizadores com software de mineração. Os cibercriminosos um método de criação de processos tipicamente utilizado em malware e que foi visto em alguns ataques direccionados por agentes APT, mas que nunca antes tinha sido observado em ataques de mineração antes.
Globalmente, 2,7 milhões de utilizadores já foram atacados por software de mineração malicioso em 2017, o que representa um crescimento de 50% face ao ano anterior (1,87 milhões).
Utilizadores infectados por software de mineração malicioso em 2017, segundo o Kaspersky Lab
“Estamos a observar o abrandamento do ransomware que está a dar lugar aos mineiros. Isto é confirmado pelas nossas estatísticas que revelam um crescimento regular dos mineiros ao longo do ano, bem como pelo facto de os grupos de cibercriminosos estarem activamente a desenvolver os seus métodos e a começar a utilizar técnicas mais sofisticadas para disseminar o software de mineração”, assinala Anton Ivanov, director e analista de malware no Kaspersky Lab. “Já tínhamos visto este tipo de evolução, afinal, os hackers do ransomware utilizaram os mesmos truques quando estavam em ascensão”, acrescenta.
Globalmente, 2,7 milhões de utilizadores já foram atacados por software de mineração malicioso em 2017, o que representa um crescimento de 50% face ao ano anterior (1,87 milhões). Têm ludibriado as vítimas através de adware, jogos comprometidos e software pirata utilizado elos cibercriminosos para infectar, em segredo, os seus PC. Outra abordagem utilizada tem sido a mineração web através de um código especial localizado em páginas web infectadas. O software de mineração mais utilizado foi o CoinHive, descoberto em muitos websites populares.
Como funciona este tipo de ataque
A vítima é levada a descarregar e instalar um software de publicidade com o instalador do software de mineração escondido. O instalador trás consigo uma ferramenta legítima de Windows, com o objectivo principal de descarregar o minerador propriamente dito a partir de um servidor remoto.
Depois da execução, um processo de sistema legitimo arranca e o código legítimo deste processo é substituído pelo código malicioso. Como resultado o “mineiro” funciona, sob o disfarce de uma tarefa legitima e é impossível para o utilizador reconhecer se há ou não uma infeção. É também um desafio para as soluções de segurança detectar estas ameaças. Além disso, os “mineiros” marcam este novo processo de um modo que restringe o cancelamento da tarefa. Se o utilizador tentar parar o processo, o computador irá reiniciar. Deste modo, os criminosos prolongam a sua presença produtiva no sistema.
Segundo o Kaspersky Lab, os agentes por trás destes ataques têm estado a minerar moedas Electroneum e conseguiram arrecadar praticamente sete milhões de dólares na segunda metade de 2017, o que é comparável às somas que os criadores de ransomware costumavam ganhar.