Nos últimos meses, a Unit 42 viu um aumento acelerado de campanhas usando ameaças conhecidas como mineradores de criptomoeda. As investigações foram aprofundadas para descobrir se seria apenas uma coincidência ou uma tendência em larga escala. Pesquisas foram feitas com amostras identificadas com a plataforma WildFire da Palo Alto Networks. Como pode ser notado no gráfico abaixo, as amostras de malware saíram de menos de duas mil em 2017 para mais de 16 mil este ano. Deve-se notar que estes dados não incluem atividades de mineração maliciosas baseadas em JavaScript ou na Web, que continuam afetando os usuários da Internet.
Deve-se notar que o gráfico acima não representa a frequência das sessões presenciadas, mas sim com que frequência foi identificada uma nova amostra de mineradores de criptomoeda ao longo do tempo.
A percepção dessa tendência levou a Unit 42 as seguintes perguntas:
- Quais das criptomoeda são mais mineradas?
- Quanto dinheiro tem sido feito por esses atores?
A partir de junho de 2017, o Bitcoin e outras criptomoedas de primeira linha tiveram um aumento dramático em seu valor, à medida que mais e mais pessoas procuravam investir, o que acabou elevando o preço. Coincidentemente, junho de 2017 é também quando começamos a testemunhar a tendência de um alto aumento nos mineradores criptomoeda dentro da plataforma WildFire. Abaixo o gráfico de valorização da Bitcoin em dólares.
Este aumento drástico no preço atingiu o clímax em dezembro de 2017, quando o preço do Bitcoin subiu para cerca de US$ 20.000. Desde então, corrigido para cerca de US $ 8.000 no momento deste texto.
Estatísticas
Até o momento, a Palo Alto Networks encontrou 470 mil amostras únicas que podem entregar malware para mineração de criptomoeda. Usando o WildFire e dados PCAP, foi possível analisar essas amostras e colher várias informações, tais como:
- 629.126 Amostras
- 3.773 e-mails usados para conectar pools (grupos) de mineração
- 2.995 URLs para pools de mineração
- 2.341 carteiras Monero (XMR)
- 981 carteiras Bitcoin (BTC)
- 131 carteiras Electroneum (ETN)
- 44 carteiras Ethereum (ETH)
- 28 carteiras Litecoin (LTC)
Ao analisar quais criptomoedas são alvo de malware de mineração, vemos um grande destaque da criptomoeda do Monero.
Monero
Foram extraídas 2.321 carteiras de Monero da amostra analisada. Diferente de outras criptomoedas, é impossível consultar o blockchain da Monero para extrair o saldo atual de uma única carteira sem a senha do proprietário. É como o Monero foi originalmente projetado. Portando, a Unit 42 partiu para a analise das mining pools de moeda nas quais ocorria o uso de malware. Todos, exceto um, permitiam a visualização anônima de estatísticas baseadas na carteira como um identificador. Essa visualização anônima é intencional, pois permite que os usuários se conectem anonimamente e usem vários pools de mineração sem inserir qualquer informação pessoal identificável.
Foram usadas as seguintes mining pools (grupos de mineração de criptomoeda):
Desta maneira, os pesquisadores da Palo Alto Networks obtiveram o valor de 798.613,33 XMR minerados, perto de 5% de todo Monero em circulação. Convertido em dólares com a cotação de 180 dólares por Monero, a Unit 42 estimou o valor de $143.750.400,15 ou mais de 500 milhões de reais.
Conclusão
Até o momento, a popularidade da atividade de mineração de criptomoedas maliciosas continua a disparar. O grande crescimento da mineração por malware é um resultado direto de um aumento anterior no valor, que desde então foi corrigido para um valor mais alinhado com as expectativas. Como esta correção ocorreu, somente o tempo dirá se os mineradores de criptomoedas continuarão em popularidade. É claro que tais atividades têm sido incrivelmente lucrativas para indivíduos ou grupos que exploraram criptomoedas usando técnicas maliciosas por um longo período de tempo. Um total de US$ 175 milhões foi encontrado para ser minado historicamente através da moeda Monero, representando cerca de 5% de todo o Monero em circulação.
Derrotar mineradores de criptomoedas entregues via malware é uma tarefa difícil, já que muitos autores de malware limitam a utilização da CPU ou garantem que as operações de mineração ocorram apenas durante horários específicos do dia ou quando o usuário estiver inativo. Além disso, o malware em si é fornecido por um grande número de métodos, exigindo que os defensores tenham uma abordagem aprofundada à segurança.