Surto de ataques de mineração de criptomoedas detectado pelo McAfee Labs

GestãoSegurança

A mineração de criptomoedas e o “cryptojacking” (apropriação de computadores para minerar criptomoedas) oferecem aos criminosos cibernéticos menos riscos, mais eficácia e facilidade de monetizar seus ataques; eles agora incluíram a exploração passiva em seu portfólio de extorsão por ransomware, roubo por violação de dados e fraudes.

 A McAfee, deu a conhecer os resultados do seu relatório de ameaças do McAfee Labs: junho de 2018 , que examina o crescimento e as tendências de novos tipos de malware, ransomware e outras ameaças no 1º trimestre de 2018. O McAfee Labs registrou, em média, cinco novas amostras de ameaças por segundo, incluindo um aumento nos casos de “cryptojacking” e outros malwares de mineração de criptomoedas, bem como campanhas notáveis que demonstram a intenção deliberada de aprimorar os ataques mais sofisticados de 2017.

“Neste semestre, foram revelados novos dados sobre campanhas complexas de ataques cibernéticos realizados por nações em conflitos internacionais contra usuários e sistemas empresariais de todo o mundo”, afirmou Raj Samani, cientista-chefe na McAfee. “Os criminosos demonstraram um impressionante nível de agilidade técnica e inovação nas ferramentas e táticas utilizadas. Eles continuaram recorrendo à mineração de criptomoedas como via fácil de lucrar com suas atividades criminosas.”

Os hackers ampliaram suas operações de cryptojacking e outros esquemas de mineração de criptomoedas, em que os criminosos sequestram os navegadores das vítimas ou infectam seus sistemas para usá-los secretamente com a finalidade de minerar criptomoedas legítimas, como Bitcoin. Essa categoria de malwares mineradores de moedas teve um impressionante crescimento de 629% no primeiro trimestre de 2018, disparando de aproximadamente 400 mil amostras totais conhecidas no 4º trimestre de 2017 para mais de 2,9 milhões no trimestre seguinte. Isso indica que os criminosos cibernéticos continuam apostando na abordagem de simplesmente infectar os sistemas dos usuários e coletar pagamentos sem depender de terceiros para lucrar com seus crimes.

“Os criminosos cibernéticos geralmente optam pelas atividades criminosas que geram o maior lucro possível”, afirmou Steve Grobman, CTO da McAfee.  “Nos últimos trimestres, observamos uma transição do roubo de dados para o ransomware, que é um crime mais eficiente.  Com a constante valorização das criptomoedas, as tendências do mercado estão levando os criminosos a adotar o cryptojacking e o roubo de criptomoedas. O crime cibernético é um negócio, e as tendências do mercado continuarão influenciando a decisão dos criminosos sobre onde concentrar seus esforços.”

Campanhas de roubo de Bitcoin

A quadrilha de crime cibernético Lazarus lançou uma campanha de phishing extremamente sofisticada para roubar Bitcoins, a HaoBao, tendo como alvo instituições financeiras internacionais e usuários do Bitcoin. Quando os destinatários de e-mails abrem anexos maliciosos, um implante analisa o sistema em busca de transações de Bitcoin e instala um malware que constantemente coleta dados e minera criptomoedas.

Gold Dragon: ataques na Coreia do Sul

Em janeiro, o McAfee Advanced Threat Research comunicou um ataque contra as organizações envolvidas nos Jogos Olímpicos de Inverno de Pyeongchang na Coreia do Sul. O ataque foi empreendido com o uso de um anexo malicioso do Microsoft Word que continha um script de implante do PowerShell oculto. O script estava incorporado em um arquivo de imagem e foi executado a partir de um servidor remoto.  Apelidado de “Gold Dragon”, o implante sem arquivo gerado criptografava e enviava os dados roubados para os servidores de controle e comando dos hackers, realizava procedimentos de identificação de vulnerabilidades e monitorava as soluções antimalware para evadir a detecção.

 Hidden Cobra: GhostSecret e Bankshot

A Operação GhostSecret tinha como alvo os setores financeiro, da saúde, do entretenimento e de telecomunicações. Acredita-se que a Operação GhostSecret esteja associada à quadrilha de crime cibernético internacional conhecida como Hidden Cobra. A campanha, que lança mão de uma série de implantes para roubar dados dos sistemas infectados, também é caracterizada por sua capacidade de evadir a detecção e despistar os investigadores. Bankshot, a variação mais recente da GhostSecret, usa uma exploração incorporada do Adobe Flash para ativar a execução de implantes. Ela também incorpora elementos do malware Destover, que foi usado no ataque à Sony Pictures em 2014, e o implante Proxysvc, um implante previamente desconhecido que atuou sem detecção até meados de 2017.

Incidentes de segurança por setor

O McAfee Labs contabilizou 313 incidentes de segurança divulgados publicamente no 1º trimestre de 2018, um aumento de 41% em relação ao 4º trimestre. Incidentes envolvendo vários setores (37) e tendo como alvo várias regiões (120) foram os tipos mais comuns de incidente no 1º trimestre.

  • Setor da saúde. O número de incidentes divulgados no setor da saúde aumentou 47%. Os criminosos cibernéticos continuaram atacando o setor com o ransomware SAMSA, e houve inúmeros casos em que hospitais foram obrigados a pagar os criminosos.
  • Setor da educação. Os incidentes de ataque no setor da educação aumentaram 40%, e o ransomware foi um dos principais responsáveis pelos ataques sofridos por escolas e outras instituições de ensino.
  • Setor financeiro. O número de incidentes divulgados aumentou 39% e incluem ataques constantes ao sistema bancário SWIFT. Esses ataques nem sempre tinham como alvo regiões específicas, como nos anos anteriores, mas a McAfee identificou atividades na Rússia e tentativas de identificação de vulnerabilidades na Turquia e na América do Sul.

Outras atividades de ameaças no 1º trimestre de 2018

No primeiro trimestre de 2018, o McAfee Labs registrou, em média, cinco novas amostras de malware por segundo, incluindo ameaças que apresentam melhorias técnicas consideráveis em relação às últimas tecnologias e táticas eficazes para contornar as defesas dos alvos.

  • Do PowerShell a arquivos LNK. Apesar da redução nos ataques que usam o PowerShell desde seu auge em 2017, os criminosos cibernéticos aumentaram suas táticas de exploração de outras tecnologias legítimas. O número total de malwares que exploram recursos LNK disparou 59% no último trimestre.
  • Do Locky ao Gandcrab. Apesar da queda de 32% no crescimento de novos tipos de ransomware no primeiro trimestre de 2017, a estirpe Gandcrab infectou cerca de 50 mil sistemas nas três primeiras semanas do trimestre, tomando o lugar das variantes do ransomware Locky como o ransomware líder do trimestre. O Gandcrab usa novas metodologias criminosas, como processamento de pagamentos de resgate com a criptomoeda Dash em vez do Bitcoin.
  • Malware. O número total de amostras de malware aumentou 37% nos últimos quatro trimestres, chegando a mais de 734 milhões de amostras identificadas.
  • Malwares móveis. O número total de amostras de malware conhecidas aumentou 42% nos últimos quatro trimestres. O número de infecções de dispositivos móveis em todo o mundo caiu 2%, e a África teve a taxa mais alta, de 15%.