Hora de abrir os olhos para uma nova ameaça – Mineração clandestina de Monero

Você provavelmente já ouviu falar de Bitcoin, a criptomoeda que viu seu valor e fama crescerem exponencialmente no ano de 2017. Contudo, a bitcoin é apenas mais uma das milhares de criptomoedas que existem por aí. Litecoin, Ethereum, Cardano, entre outras, são alguns exemplos dessas diferentes moedas digitais que circulam pela web.

Uma das características principais, que quase todas essas moedas têm em comum, é a possibilidade de serem “mineradas”. Complexos problemas matemáticos são resolvidos por processadores e, com tempo, geram frações da criptomoeda, custando apenas a energia elétrica gasta para manter o equipamento em funcionamento.

No entanto, imagine se você não tivesse o custo com energia elétrica para manter o equipamento em funcionamento, tampouco o gasto de comprar mais e mais componentes eletrônicos para minerar sua criptomoeda e ainda assim pudesse manter diversos computadores ao seu dispor. Parece uma solução perfeita, não? Pois é exatamente isso que criminosos mundo afora têm pensado ao infectar milhões de máquinas com softwares maliciosos, transformando-as em escravos mineradores, que agem em silêncio, enriquecendo seu mestre.

Evidentemente, se isso fosse uma operação no mundo físico, surgiria a pergunta de porque não rastrear o dinheiro, certo? E é nesse ponto em que a criptomoeda do título entra em ação. Monero, a moeda digital criada em 2014, é famosa exatamente pela suas técnicas de privacidade, permitindo que as transações sejam feitas de forma a manter ambos os lados em segredo. Uma valiosa qualidade em termos de segurança da informação, mas, infelizmente, um prato cheio para atividades ilícitas.

MONERO

De forma geral, as criptomoedas funcionam mantendo um registro público de todas as transações realizadas, espalhado aleatoriamente por computadores de todo o mundo, chamado de blockchain, substituindo a ideia de banco convencional. Baseando-se nesse mesmo princípio, a monero é uma criptomoeda descentralizada, de código aberto, que foi criada por um usuário do fórum Bitcointalk em 2014. Desde então, a moeda se tornou responsabilidade de uma equipe bem aceita pela comunidade e tem como valores a segurança, privacidade e descentralização, colocando a facilidade de uso e eficiência em segundo lugar e ainda possuindo transações resistentes a censura.

Para desfrutar da moeda digital, um usuário guarda seus fundos em uma aplicação chamada de Carteira Monero, que possui um endereço público o qual deve ser utilizado para lhe enviar moedas. Diferente da famigerada Bitcoin, o saldo da sua carteira e as transações realizadas se mantém privadas, fazendo com que ninguém saiba quais pessoas realizaram transações. Assim, a forma como a Monero funciona não permite que você seja espionado e que descubram com o que você está gastando dinheiro.

Outro fator importante é a mineração da criptomoeda. De modo genérico, minerar seria como uma corrida, na qual os dispositivos mineradores competem para resolver um problema matemático. Aquele que consegue resolver primeiro é então recompensado com uma fração da criptomoeda. Dessa forma todos contribuem para o poder de processamento do blockchain, onde as transições são registradas.

Todavia, nem toda mineração funciona da mesma maneira, e é aí que a Monero se destaca novamente. Diferenciando-se outra vez da Bitcoin, a monero pode facilmente ser minerada por qualquer unidade de processamento, sem requerer circuitos integrados especializados. Isso permite que qualquer computador caseiro de torne um minerador com potencial significativo.

BOTNETS

 

Outro nome que tem despontado cada vez mais no mundo da web e da segurança da informação é a Botnet. Na verdade, o termo é uma junção das palavras robô e rede, em inglês.

Botnet se trata de uma rede de computadores conectados via internet, sejam estes desktops residenciais, servidores, dispositivos móveis ou qualquer outro dispositivo conectado a internet, inclusive aqueles que se encaixam no conceito de IoT (internet of things).

Apesar do termo isolado não significar necessariamente uma ameaça à segurança cibernética, a palavra botnet carrega consigo uma inerente conotação negativa devido às incontáveis redes criadas por softwares maliciosos em todo o globo. Nesse contexto, um “bot” pode ser considerado um dispositivo infectado por um malware, criado para executar alguma tarefa automatizada, conectando-se a uma rede inteira de outros bots para formar uma botnet.

Lembra dos computadores escravizados? Este é precisamente o objetivo dessa técnica: aproveitar-se silenciosamente dos recursos computacionais alheios para executar alguma tarefa específica, sem o conhecimento do dono, é claro. É, portanto, neste ponto que é possível enxergar a conexão entre a mineração da Monero e a infecção de computadores por códigos de uma botnet.
Não é só no campo das ideias que residem as botnets mineradoras de monero. Muito pelo contrário, é um problema real que tem atingido o solo brasileiro e tornando-o alvo de ataques de botnets e malwares mineradores.

Portanto, esclarecer esses conceitos é importante para que seja possível seguir para os próximos passos, o da identificação e prevenção, visando manter a disponibilidade total dos seus recursos computacionais.

DETECTANDO MINERADORES INDESEJADOS

Por utilizarem os recursos computacionais, além de de se comunicarem com uma central de controle, bots deixam vestígios de que estão presentes em um dispositivo infectado. Sendo assim, qualquer mudança no comportamento do computador e seus programas pode ser um sinal de infecção, mas alguns desses sintomas podem ter outros motivos. Portanto, ao perceber qualquer um desses sinais é importante fazer uma investigação mais detalhada ou acionar algum responsável técnico. Separamos alguns sinais comuns:

  • Uso elevado do CPU: Esse é um sintoma que pode ser percebido de várias maneiras e, até mesmo, gera outros sinais perceptíveis. Às vezes é possível escutar a ventoinha do processador fazendo um barulho mais alto que o normal, pois ela gira em um velocidade superior quando o processador está sendo muito requisitado. Existem maneiras de verificar o uso efetivo da CPU dependendo do seu sistema operacional, como o gerenciador de tarefas do Windows.

  • Tempo elevado de início e desligamento do sistema: Ao ligar e desligar o sistemas, diversos processos precisam ser iniciados e finalizados, respectivamente. Processos a mais, somados a ocupação do tempo de uso do CPU, podem ocasionar lentidão nessas etapas.

  • Programas extremamente lentos ou se comportando de maneira estranha: A falta de recursos disponíveis, como memória ou tempo de CPU, pode ocasionar falhas em programas ou comportamento inesperados. Programas lentos ou emitindo erros podem ser mais um sinal de uso indesejado de recursos do computador.

  • Acesso a internet debilitado: Os bots precisam se comunicar com sua central de controle, portanto, utilizam sua conexão com a internet para fazer isso, muitas vezes ocupando uma parcela grande da banda da internet, deixando tudo mais lento.

  • Download de atualizações do sistema ou antivírus bloqueadas: Softwares maliciosos mais “cuidadosos” podem afetar as defesas do sistemas, tentando prolongar a sua vida como parasitas. Suspeite sempre que encontrar seu antivírus bloqueado, exceções estranhas configuradas ou as atualizações do sistemas suspensas sem nunca ter alterado nada manualmente.

A mineração de criptomoedas se tornou algo tão lucrativo nos últimos anos que diversos métodos para minerar surgiram. Não é só através de uma infecção direta que seu computador pode acabar minerando moedas para outras pessoa. Diversos sites já foram descobertos executando códigos que utilizam dos recursos do computador de seu visitante para minerar Monero. Pense que agora, em vez de anúncios tomando conta da sua tela, os donos do site pegam um pouquinho dos seus recursos computacionais emprestado.

Fique atento a alguns dos sinais citados anteriormente quando entrar em um site novo. Se perceber o uso do processador aumentando muito mais do que aparentemente deveria quando abrir certa página na web, pode ser um indício de que um código minerador está escondido por trás.

Alguns malwares mais sofisticados podem requerer um nível de atenção elevado. Sendo assim, usuários mais avançados e administradores de sistema podem procurar por sintomas adicionais, como:

  • Tráfego por IRC detectado na rede

  • Requisições DNS idênticas sendo feitas por várias máquinas diferentes

  • Picos estranhos no tráfego de rede, principalmente nas portas 6667 e 1080

  • Tráfego de saída SMTP muito alto, geralmente relacionado a envio de spam

  • Conexões com centrais de controle já conhecidas pela comunidade

PREVENINDO-SE

 

“Prevenção é o melhor remédio” é uma máxima muito valiosa na segurança da informação e não é diferente no caso de botnets. As infecções pelos bots não se diferenciam de infecções por quaisquer outros códigos maliciosos. Por exemplo, um das mais comuns botnets utilizadas para minerar Monero se expandiu infectando computadores através de publicidades enganosas, as quais iniciavam o download de arquivos maliciosos disfarçados de outros programas populares.

Para evitar esse tipo de software, as dicas tradicionais se aplicam:

  • Mantenha todos seus softwares atualizados, guiando-se pelo site oficial do mesmo

  • Nunca aceite downloads que você não tenha explicitamente iniciado por vontade própria

  • Não clique em links suspeitos, seja via email ou em páginas da web, de amigos ou de estranhos. Se você está em dúvida, procure por fora.

  • Tenha um antivírus bom e atualizado, muitas botnets já foram identificadas e se encontram na lista desse softwares especializados.

  • Mantenha seu firewall ativo. Se puder, configure-o para segurança máxima, garantido que qualquer tentativa de conexão com a internet será notificada.

Quanto a mineração por navegadores, algumas soluções já existem por aí. Na loja do navegador google chrome, por exemplo, é possível encontrar extensões que detectam e bloqueiam automaticamente códigos mineradores. Outra solução mais radical é bloquear a execução de códigos em JavaScript, linguagem de programação comumente usada para criar esses mineradores. Contudo, essa é uma solução que pode afetar outros aspectos da página.

HORA DE REAGIR

Quando todas as defesas não deram certo e os sinais se concretizaram em uma infecção chegou a hora de reagir. Livrar-se de uma botnet é semelhante a lutar contra outros malwares. É preciso entender onde ele está incrustado no sistema e como está operando. Softwares antimalware já estão sendo atualizados com as assinaturas de botnets conhecidas e capacidades de detectar as diferentes técnicas utilizadas por esses invasores. Portanto, escanear o sistema com produtos atualizados é um bom começo para tentar remover os bots do computador.

A partir daí é recomendado procurar no sistema por portas abertas e vulnerabilidades, certificando-se de utilizar ferramentas atualizadas e confiáveis. Fechar essas linhas de comunicações é uma forma de impedir o continuamento das atividades da botnet e garantir que novas infecções não vão ocorrer da mesma maneira. Pelo mesmo motivo, é importante bloquear qualquer tráfego suspeito de entrada e saída da rede, seja através de firewall do sistema ou por aplicações especializadas.

Livrar-se de uma infecção é, no geral, um trabalho para alguém com certo nível de especialização na área, pois requer atenção a diversos fatores e um conhecimento das ferramentas existentes, principalmente para garantir que não há vestígios do malware e vulnerabilidades abertas sobrando.

CONCLUSÃO

Entendendo os princípios da criptomoeda Monero e as ameaças furtivas que são as botnets é possível enxergar o potencial desse tipo de atividade. É evidente o crescente interesse dos criminosos por uma forma irrastreável, indetectável e automatizada de obter lucro. Afinal, são atividades que, além de fomentar um mercado clandestino de redes interconectadas, atingem negativamente o desempenhos das máquinas afetadas.

Por fim, conscientizar toda a comunidade e abrir os olhos de usuários para ameaças quase invisíveis é um trabalho duro, mas com um retorno valioso. Aos administradores de rede e responsáveis técnicos, cabe manter esse diálogo vivo e tomar as ações necessárias, sem deixar que os mineradores consigam cumprir o seu objetivo a custa de outrem: agir sem serem notados.