O que há na sua carteira? Ataques de Cryptojacking com drenagem de recursos estão em ascensão.

O que há na sua carteira? Ataques de Cryptojacking com drenagem de recursos estão em ascensão.

A popularidade da criptografia legítima está sendo desafiada pela ascensão do cryptojacking – seu primo criminoso. O potencial lucrativo de um ataque bem-sucedido de cryptojacking tornou uma busca atraente por maus atores – um artigo no ZDNet até aponta 2018 como o “ano dos ataques maliciosos de mineração com criptomoeda”, referindo-se a ele como “novo ransomware”. enquanto o crypjacking e o ransomware são ambos para obter lucro financeiro, o crypjacking não é abertamente perturbador – fornecendo um potencial de ganhos a longo prazo para o atacante.

A criptografia ocorre quando um invasor usa malware para sequestrar o poder de processamento de um endpoint e usá-lo para minar a criptomoeda em nome do invasor. Os terminais são usados ​​para executar os cálculos necessários para atualizar blockchains das criptomoedas, criando novos tokens e gerando taxas no processo. Estes são depositados em carteiras de propriedade do atacante, enquanto os custos de “mineração” – eletricidade e poder de processamento – são incorridos pela vítima inconsciente.

Mostre-me onde é o Monero.

Ao contrário do ransomware, que normalmente exige pagamento em Bitcoin, os cryptojackers preferem o Monero, um sistema monetário seguro e privado que é mais fácil de minerar e quase impossível de rastrear. Além disso, enquanto a mineração de Bitcoin requer hardware especializado e caro, o Monero pode ser extraído usando qualquer desktop, laptop ou servidor, tornando os sistemas individuais mais lucrativos. O Monero também fornece anonimato e privacidade, protegendo os invasores dos olhares indiscretos da aplicação da lei. Claramente, os invasores estão lucrando com esse esquema, com alguns ataques supostamente ganhando até US $ 3,6 milhões .

Recursos Roubados e Produtividade Perdida

O dano causado pelo cryptojacking se estende muito além dos CPUs sobrecarregados. O poder de processamento perdido pode afetar as operações de negócios – diminuindo o desempenho do sistema e, muitas vezes, resultando em paralisações do sistema e falhas no aplicativo. Essas interrupções clandestinas podem custar caro às organizações, e não apenas à perda de produtividade: quando os invasores usam os servidores de alto desempenho de uma organização para mineração, ela reduz sua capacidade de ser ativos de valor comercial sólidos. As organizações podem ver um aumento nos custos operacionais à medida que seus recursos são redirecionados para os esforços do cryptominer.

Mais recentemente, as táticas de ataque sem núcleo, patrocinadas pelo Estado-nação, estão sendo trazidas para o paradigma do criptojacking com eficácia devastadora. No início deste ano, o mineiro WannaMine Monero foi encontrado propagando-se através das redes através da exploração EternalBlue vista nos ataques WannaCry e NotPetya. Um blog detalhado da CrowdStrike ® observou como o WannaMine usava técnicas de “living off the land”, como assinaturas permanentes de eventos do Windows Management Instrumentation (WMI) como um mecanismo de persistência. Sua natureza sem arquivos e o uso de software de sistema legítimo, como o WMI e o PowerShell, dificultam, se não impossibilitam, que as organizações o bloqueiem sem algum tipo de solução antivírus de última geração.. Embora o crypjacking possa não interromper o funcionamento das operações, se uma organização for suscetível a “crypjacking”, estará suscetível a uma violação. Um criptojacker que conseguiu escapar das defesas de uma organização no passado tem um convite aberto para retornar, se as lacunas de segurança não forem fechadas.

Desafios para equipes de segurança

As equipes de segurança que têm recursos e visibilidade limitados têm dificuldade em lidar com o uso de criptografia porque, para serem bem-sucedidas, precisam fazer o seguinte:

  • Identifique um evento e entenda o vetor de ataque. O aumento do uso de ferramentas legítimas e ataques sem arquivos torna isso difícil.
  • Pare uma violação ativa e corrija rapidamente os sistemas. Quando ocorre um incidente, as equipes de segurança devem interromper o incidente e corrigir os sistemas o mais rápido possível. Isso geralmente envolve investigação manual e recriação de imagens de máquinas, que são tarefas de drenagem de recursos.
  • Aprenda com um ataque e feche as falhas de segurança. Após o incidente, as equipes de segurança devem entender o que aconteceu, por que isso aconteceu e garantir que isso não aconteça novamente.

Dicas para Proteger contra o Cryptojacking

O Cryptojacking é uma ameaça à produtividade e segurança de uma organização. Para lidar com esse risco, as organizações precisam:

  • Pratique uma forte higiene de segurança. A higiene de TI é fundamental para a segurança. O uso regular de aplicativos e sistemas operacionais vulneráveis ​​e a proteção de contas de usuários com privilégios são práticas essenciais para uma postura de segurança ideal.
  • Implante uma verdadeira plataforma de proteção de terminal de próxima geração (EPP). As organizações devem estar preparadas para prevenir e detectar todas as ameaças, incluindo malwares conhecidos e desconhecidos, bem como identificar ataques na memória. Isso requer uma solução que inclua proteção AV de última geração, bem como detecção e resposta de endpoint (EDR), para evitar ataques e obter visibilidade total em todo o ambiente.

De acordo com o Gartner , a defesa eficaz contra ameaças aos seus endpoints significa implantar uma solução que tenha recursos NGAV e EDR. A plataforma CrowdStrike Falcon é uma verdadeira solução EPP da próxima geração projetada para detectar indicadores comportamentais furtivos de ataque (IOAs), independentemente de o malware se gravar no disco ou ser executado apenas na memória.

Como responder em tempo real

A plataforma CrowdStrike Falcon permite que as equipes vejam, investiguem e respondam a um incidente de segurança em questão de minutos. Ao registrar todos os dados de telemetria do endpoint, as equipes de segurança têm visibilidade completa de seus ambientes e recebem eventos em tempo real, para que possam iniciar sua investigação.

Figura 1. Detecção do Script Powershell Malicioso

Mesmo com ataques como o WannaMine, que tentam usar ferramentas legítimas (como o WMI) para evitar a detecção, o comportamento malicioso é imediatamente detectado pelos IOAs comportamentais do CrowdStrike. Na detecção mostrada na Figura 1, um script Powershell mal-intencionado foi identificado e impedido de ser executado.

O Falcon proporciona às equipes de segurança uma visibilidade granular dos processos executados, enquanto o Falcon Insight ™ oferece um recurso de resposta em tempo real que pode ser usado para conter imediatamente e remotamente o ponto de extremidade. Além disso, embora a maioria das equipes de segurança opte por recriar imagens de máquinas quando ocorre um incidente, isso não é necessário com o Falcon Insight. Em vez disso, a resposta em tempo real abre um shell reverso com comandos fáceis de usar que tornam desnecessária a recriação de imagens. Alguns exemplos desses comandos incluem a capacidade de interromper um processo e remotamente remover o arquivo de um nó de extremidade, conforme mostrado na Figura 2.

Figura 2: Shell de Resposta em Tempo Real

O Falcon também permite que as equipes avancem rapidamente e procurem em um ambiente pelo executável malicioso para determinar se outros sistemas foram afetados. Esses sistemas podem então ser remediados e o hash do malware pode ser adicionado à lista negra para evitar mais problemas.

Figura 3: Colocando na lista negra o arquivo mal-intencionado na interface do usuário do Falcon

Conclusão

Criptojacking é uma ameaça para as organizações porque rouba recursos valiosos e é extremamente difícil de detectar. Mesmo quando encontrado, pode exigir esforços meticulosos para removê-lo e garantir que uma organização esteja segura. A abrangente plataforma de proteção de terminais da Falcon detecta rapidamente e interrompe as tentativas de ignição automática antes que qualquer atividade de drenagem de recursos possa começar.

 

Fonte: https://www.crowdstrike.com/blog/whats-in-your-wallet-resource-draining-cryptojacking-attacks-are-on-the-rise-2/