Cryptominers na disputa pelo seu processador

Qual o país mais perigoso do mundo em termos de ciberameaças?

Resposta: a Etiópia.

E o menos perigoso? O Quirguistão.

Esses dois estão nos extremos de um ranking de 149 países elaborado pela divisão de Inteligência de Ameaças da Check Point, com dados obtidos durante o mês de março deste ano. E você quer saber onde nós ficamos nessa lista? Estamos em 99o lugar. Quer dizer que tem 98 países piores do que nós. E que tem 50 melhores.

Índice global

O Índice Global de Ameaças da Check Point revela também que embora os serviços de mineração de criptomoeda, como o Coinhive, tenham fechado, os criptomineradores ainda são os malwares mais predominantes nas organizações em todo o mundo. Conforme anunciado no mês passado, tanto Coinhive quanto Authedmine pararam seus serviços de mineração no dia 8 de março. Por causa disso, pela primeira vez – desde dezembro de 2017 – o Coinhive caiu da primeira posição. Mas, apesar de ter operado apenas oito dias em março, ainda era o sexto malware mais comum afetando as organizações. No seu auge, o Coinhive impactou 23% das organizações em todo o mundo.

Atualmente, muitos sites ainda possuem o JavaScript Coinhive e, mesmo sem atividade de mineração, os pesquisadores da Check Point avisam que o Coinhive pode ser reativado se o valor do Monero (criptomoeda de código aberto) aumentar. Como opção, outros serviços de mineração podem aumentar sua atividade para aproveitar a ausência do Coinhive.

Durante o mês de março, três dos cinco principais malwares predominantes foram criptomineradores: Cryptoloot, XMRig e JSEcoin. O Cryptoloot liderou o Índice de Ameaças pela primeira vez, seguido de perto pelo Emotet, o trojan modular. Ambos tiveram um impacto global de 6%. O XMRig é o terceiro malware mais popular que afeta 5% das organizações em todo o mundo.

Mais cryptominers a caminho

De acordo com Maya Horowitz, diretora de Inteligência de Ameaças e Pesquisa da Check Point, “com os valores de criptomoedas caindo em geral desde 2018, veremos mais criptomineradores para navegadores seguindo os passos do Coinhive e cessando a operação”. “No entanto, suspeito que os criminosos virtuais encontrarão formas de ganhar com atividades de criptomineiração mais robustas, utilizando ambientes em nuvem para mineração, em que o recurso interno de dimensionamento automático permite a criação de um criptograma maior de criptografia. Vimos organizações pagando centenas de milhares de dólares a seus provedores de serviços em nuvem pelos recursos de computação usados ​​ilicitamente pelos criptomineradores. Esta é uma chamada de ação para as organizações protegerem seus ambientes de nuvem”, reforça Maya.

Os três principais malwares de março de 2019:

*As setas estão relacionadas à mudança na classificação em comparação com o mês anterior.

↑Cryptoloot – Criptominerador que usa o poder de CPU ou GPU da vítima e os recursos existentes para a criptomineiração, adicionando transações ao blockchain e liberando nova moeda. É um concorrente do Coinhive, oferecendo uma porcentagem menor de receita de sites.
↑ Emotet – Trojan avançado, autopropagado e modular. Emotet costumava a ser empregado como um Trojan bancário, e recentemente está sendo usado como um distribuidor para outras campanhas maliciosas ou malware. Ele usa vários métodos para manter as técnicas de persistência e evasão para evitar a detecção. Além disso, pode ser espalhado através de e-mails de phishing contendo anexos ou links maliciosos.
↑ XMRig – Software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda do Monero e visto pela primeira vez, em tempo real, em maio de 2017.

Neste índice mensal, o Hiddad foi o malware mais predominante em dispositivos móveis, substituindo o Lotoor em primeiro lugar na lista dos principais softwares móveis. O Triada permanece em terceiro lugar.

Os três principais malwares para dispositivos móveis de março:

1.   Hiddad – Malware Android que reempacota aplicativos legítimos e os lança em uma loja de terceiros. Sua principal função é exibir anúncios, mas também é capaz de obter acesso aos principais detalhes de segurança incorporados ao sistema operacional, permitindo que um atacante obtenha dados confidenciais do usuário.
2. Lotoor- Ferramenta hack que explora vulnerabilidades no sistema operacional Android, a fim de obter privilégios de root em dispositivos móveis comprometidos.
3. Triada – Backdoor modular para Android que concede privilégios de superusuário ao malware baixado, ajudando a incorporar-se aos processos do sistema. Triada também foi visto falsificando URLs carregados no navegador.

Os pesquisadores da Check Point também analisaram as vulnerabilidades cibernéticas mais exploradas. O CVE-2017-7269 ainda está liderando as vulnerabilidades mais exploradas, com um impacto global de 44%. A divulgação de informações do repositório Git do servidor Web está em segundo lugar, com o OpenSSL TLS DTLS Heartbeat Information Disclosure em terceiro, o que afeta 40% das organizações em todo o mundo.

As três vulnerabilidades mais exploradas de março:

↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Enviando uma solicitação criada em uma rede para o Microsoft Windows Server 2003 R2 por meio do Microsoft Internet Information Services 6.0, um atacante remoto pode executar código arbitrário ou causar uma negação de condições de serviço no servidor de destino. Isso se deve principalmente a uma vulnerabilidade de estouro de buffer resultante da validação inadequada de um cabeçalho longo na solicitação HTTP.
↑ Web Server Exposed Git Repository Information Disclosure- Uma vulnerabilidade de divulgação de informações foi relatada no repositório do Git. A exploração bem-sucedida desta vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade é devida a um erro ao manipular pacotes de heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.

 

Banco da Venezuela, vulnerável, está invadido

A infraestrutura do Banco Venezolano de Crédito na internet está comprometida: os servidores da instituição financeira, fundada em 1925, uma das maiores do país, foram contaminados por hackers. Eles injetaram scripts para que os servidores trabalhem na ‘mineração’ de criptomoedas, enviando a eles os resultados da ‘mineração’. Essa atividade foi programada para ocupar 95% do tempo de processamento dos servidores. Para os clientes, a sensação é de que os servidores estão apenas lentos demais. Nesta manhã, por essa causa ou mais algumas outras, o endereço não responde nem ao Ping.

A descoberta foi feita por um pesquisador não-identificado, por meio de uma rede de honeypots ligada ao site Def-Con Lab, que publicou também um relatório detalhado sobre o assunto.

Segundo o relatório, “Recentemente registramos atividade direcionada a sensor que apresentou discrepância entre o comportamento observado e a a origem do incidente. A tentativa de acesso a portas não convencionais em um servidor que não possui serviço anunciado, é por si indicador de atividade questionável. Uma ação observada de forma persistente nos últimos meses é a mineração de criptomoedas em algumas portas específicas”.

“Em virtude disso, passamos a observar esse comportamento com maior atenção. Em um caso concreto, além de ação maliciosa, a origem da conexão foi determinante para que o sistema indicasse um alerta.
Incidente

O endereço IP 190.93.44.XX, do Banco Venezolano de Crédito, instituição financeira de médio porte da Venezuela, o qual possui 103 agências e mais de 7.000 funcionários, apresentou comportamento malicioso. Pela origem em uma instituição financeira, optamos por averiguar em maior detalhe o endereço IP referido.

Em análise detalhada do endereço IP 190.93.44.XX observamos a presença de página de configuração JBoss acessível sem qualquer filtro de origem.”

A vulnerabilidade do servidor permitiu o acesso não só à configuração JBoss como a vários outros recursos, indicando enorme fragilidade na infraestrutura da instituição bancária. Leia o relatório completo em

Banco Venezuelano e Criptomoedas (mas não do jeito certo)

 

 

 

Roubo de criptomoedas quadruplica em 2018

Hackers e golpistas roubaram em 2018 quase quatro vezes mais criptomoedas do que o total de 2017. A informação está num relatório da Cipher Trace, empresa que comercializa soluções contra lavagem de dinheiro e faz perícia em blockchains. No entando, os autores do relatório afirmam ter poucas dúvida de que o total de perdas nesses ativos é muito maior, já que esses são apenas os números que a Cipher Trace consegue validar. O total do ano foi de US$ 1,7 bilhão, quantia 3,6 vezes maior do que em 2017.

Só das exchanges e da infraestrutura os hackers roubaram mais de US$ 950 milhões em criptomoedas, inclusive por causa de novas e engenhosas técnicas para drenar milhões de contas e carteiras (wallets) de usuários. Além disso, houve golpes como falsos ICOs (initial coin offerings), falsos ataques a exchanges, e também as ‘pirâmides’, golpes que juntos deram prejuízos de quase US$ 750 milhões. Para piorar, funcionários das empresas que operam criptomoedas começaram a aparecer no cenário, tornando-se cibercriminosos porque acharam mais fácil cometer fraudes contra investidores e usuários de exchanges do que atacar servidores bem protegidos.

Todo esse dinheiro, afirma o relatório, precisa ser ‘lavado’ e por isso está indo para exchanges em países onde ainda não há regulamentação para as criptomoedas. Mas até 2020 a maioria das modernas economias já terá implantado as regulamentações para evitar a lavagem de dinheiro com a utilização de criptomoedas.

Estas são as 10 maiores ameaças para quem tem criptomoedas, segundo o relatório:

  • SIM swapping: uma técnica de roubo de identidade que assume o dispositivo móvel da vítima clonando e eliminando seu chip de celular, para roubar credenciais e invadir carteiras ou exchanges
  • Crypto Dusting: uma nova forma de spam de blockchain que corrói a reputação do destinatário, enviando criptomoeda de conhecidos money mixers
  • Evasão de Sanções: uso de criptomoedas por Estados-nação foi promovido pelos governos do Irã e Venezuela
  • Crypto Mixers de Próxima Geração: serviços de lavagem de dinheiro que prometem trocar tokens contaminados por moeda recém-extraída, mas, na realidade, limpa a criptomoeda pelas exchanges
  • Empresas de Shadow Money: serviços financeiros sem licença (MSBs), transacionando criptomoeda sem o conhecimento das instituições financeiras, expondo assim os usuários a risco desconhecido
  • Crypto Jacking em escala de datacenter: ataques que mineram criptomoedas em grande escala foram descobertos em datacenters, incluindo o AWS
  • Transações Relâmpago: permite transações de bitcoin anônimas indo “fora da cadeia” e agora alcançando US$ 2.150.000
  • Moedas Estáticas Descentralizadas: tokens estabilizados que podem ser projetados para uso como moedas privadas
  • Extorsão e ameaça: os bandidos intensificaram as campanhas com e-mails de phishing personalizados, que usam senhas antigas e nomes de cônjuges e ameaçam “contar tudo” ao cônjuge. Golpes de extorsão com ameaças de bomba que exigem bitcoin subiram em dezembro passado
  • Ransomware: os bandidos começaram a distribuir novos malwares que esvaziam carteiras e roubam chaves privadas, mantendo criptografados os dados do usuário

O relatório pode ser obtido no link abaixo:

Cryptocurrency Anti-Money Laundering Report – Q4 2018

Coinhive já contamina 415 mil roteadores MikroTik

mapa de contaminação mikrotik
mapa de contaminação mikrotik
Mapa de contaminação dos roteadores

No vale tudo para ganhar dinheiro, muita gente está escravizando os roteadores MicroTik com o script Coinhive para minerar a criptomoeda Monero. Em Agosto deste ano o total de roteadores estava por volta de 170 mil mas acaba de se aproximar de 415 mil segundo os pesquisadores e grande parte está no Brasil. A razão para isso está na valorização das criptomoedas. O Monero é especialmente de interesse do cibercrime porque oferece privacidade nas transações. Já no Bitcoin não: é possível conhecer os saldos e movimentações de uma carteira simplesmente pelo seu número. O blockchain do Bitcoin exibe tudo.

Embora a ameaça do malware esteja se expandindo, ela afeta apenas os usuários dos roteadores MikroTik, mas o número é bastante elevado. O problema pode piorar se ao invés de minerar Monero os roteadores começarem a disparar ataques DDoS.

Inicialmente a maioria dos roteadores comprometidos estava concentrada no Brasil, mas à medida que a infecção se expandiu foram contaminados roteadores na América do Norte, América do Sul, África, Europa, Oriente Médio e Ásia. A contaminação é mostrada no mapa traçado pelo Shodan.

Os roteadores MikroTik são amplamente vendidos para provedores e organizações de serviços de Internet, e o aumento nas infecções de roteadores mostra que poucas organizações instalaram o firmware mais recente, que fecha as possibilidades de invasão.

Ao explorar uma falha de segurança em versões mais antigas do firmware do roteador, o invasor consegue injetar o script Coinhive em todas as páginas da Web visitadas por um usuário. A falha existe até a versão 6.42 do firmware – ela permite que atacantes remotos não-autenticados leiam arquivos e que atacantes remotos autenticados gravem arquivos, devido a uma vulnerabilidade cruzada de diretório na interface WinBox, segundo a  National Vulnerability Database dos Estados Unidos. Embora o Coinhive tenha sido inicialmente concebido como um software legítimo para permitir que os sites “pedissem emprestado” temporariamente o hardware de um visitante para o Monero, o abuso do script (utilização do hardware do visitante sem a sua autorização) levou muitos softwares antivírus a bloquear seu uso.

Embora a “bolha” das criptomoedas tenha estourado, o cryptojacking continua sendo uma séria ameaça à segurança. Em um incidente no mês passado, a Universidade St. Francis Xavier, na Nova Escócia, Canadá, foi forçada a suspender suas atividades na rede porque descobriu-se que um hacker havia invadido o sistema da universidade para roubar recursos de computação para minerar Bitcoin.