Veneno que corrói silenciosamente a TI das empresas, o cryptojacking causa prejuízos sem ser percebido, sem ser enfrentado, sem ser eliminado. Essa expressão em inglês une a palavra “crypto”, de criptomoedas, e “jacking”, que diz respeito a algo usado de forma ilegal. As ações de cryptojacking invadem smartphones, notebooks, desktops, servidores e até mesmo redes de dispositivos IoT para servirem de base de processamento para a mineração de moedas virtuais. O oposto dos ataques de ransomware, em que o exibicionismo das gangues digitais é parte de uma estratégia de terror, o cryptojacking acontece de forma discreta, sendo difícil de ser identificado e bloqueado.
A disseminação de criptomoedas no mundo leva gangues digitais a apostar cada vez mais nesse tipo de invasão. Os criminosos não desejam utilizar seu próprio poder de processamento — e sua própria fornecedora de energia elétrica, um dos maiores custos da atividade de cryptojacking — para a custosa mineração de cripto moedas. O relatório de ameaças da SonicWall mostrou que, no primeiro semestre de 2021, o cryptojacking havia crescido 23% em todo o mundo em relação ao mesmo período de 2020. Os experts em segurança da SonicWall mapearam 51,1 milhões de tentativas desse tipo de ataque entre janeiro e junho de 2021.
Criptomining: duas faces de uma mesma moeda
Na América Latina e no Brasil, o quadro é desafiador. A falta de uma cultura mais disseminada — e com bases legais — de cibersegurança faz da América Latina um lugar onde criminosos de todo o mundo procuram lavar dinheiro ilícito.
Estudo realizado em fevereiro de 2021 pela consultoria global de segurança Intsights mostra que o cryptojacking é utilizado por gangues digitais e por criminosos “tradicionais” para, por meio da mineração de criptomoedas, lavar os lucros do crime. O estudo da Intsights mostra que 97% das ações de lavagem de dinheiro por meio da mineração ilegal — via cryptojacking — de criptomoedas culmina com a conversão da criptomoeda “limpa” em moedas normais (dólares, pesos, reais, rublos). Segundo a Intsights, entre todas as regiões do mundo onde é mais fácil fazer essa operação, a América Latina é a favorita das gangues digitais.
Um exemplo desse quadro é o crime cometido pela empresa Crypto Capital, do Panamá, em 2019. O presidente dessa empresa, Ivan Manuel Molina Lee, foi preso por ter lavado — por meio de criptomoedas — cerca de US$ 350 milhões de “dinheiro sujo” de gangues colombianas de tráfico de drogas.
Ou seja: onde há crime, há mineração ilegal de criptomoedas. Onde há mineração ilegal de criptomoedas, há computadores sofrendo invasões de cryptojacking.
Custo de energia incentiva criminosos
O custo da energia elétrica a ser consumida nessa operação criminosa é alto. Segundo estudo realizado pelo instituto de pesquisas europeu Joule em 2018, cerca de 60% dos custos de operação legais de cryptomining é formado pelo consumo de energia elétrica. Some-se a isso a necessidade de se ter acesso a um grande poder de processamento de dados, e fica claro o motivo do cryptojacking avançar sem cessar.
O alvo preferencial desse tipo de crime é uma organização com muitos Endpoints (desktops, notebooks, servidores) conectados na mesma rede. A meta é infectar, com a máxima discrição, o maior número possível de máquinas. É bom lembrar que os cryptojackers usam as mesmas técnicas de invasão que são vistas em ransomware: download de arquivos espúrios e contaminados, campanhas de phishing que, hoje, atingem até mesmo redes sociais e vulnerabilidades estruturais dos sistemas da empresa.
Quem desconfia que seu computador esteja sob domínio de um cryptojacker deve verificar índices como deterioração da performance do endpoint e da rede, aumento de temperatura da máquina — e mais esforço da parte do ventilador — e indícios de que a CPU esteja sendo mais exigida do que seria o esperado.
Home office amplia vulnerabilidades
Com a pandemia, a ação dos cryptojackers foi muito facilitada. O home office tornou-se o novo perímetro da rede corporativa, multiplicando as vulnerabilidades e facilitando que invasões com foco em cryptojacking aconteçam.
O endpoint que sofre esse ataque torna-se uma máquina permanentemente afetada, que não pode ser recuperada. O principal alvo é, sempre, a placa de vídeo; em segundo lugar, a placa mãe. O dispositivo que sofre cryptojacking é uma máquina perdida, intensificado as perdas econômicas causadas por esse tipo de violação.
Outros prejuízos podem surgir, ainda, pelos ataques laterais disparados pelas gangues criminosas que, a princípio, buscavam apenas realizar o cryptojacking. Uma vez dentro da rede expandida da empresa, é possível avançar para outros tipos de ações criminosas.
O que fazer, então, para enfrentar essa ameaça?
Há duas frentes de batalha para vencer essa guerra: o uso de firewalls para proteger toda a rede da empresa, e a adoção de soluções que defendam o próprio dispositivo usado pelo usuário final. Next Generation Firewalls — soluções que contam, por exemplo, com recursos avançados de sandbox — conseguem bloquear até 99% das tentativas de cryptojacking. Há, no entanto, a possibilidade de que 1% dessas invasões utilizem estratégias que não são identificadas pelo firewall. Nesse caso, é essencial empregar firewalls com recursos avançados, capazes de checarem o hardware em si — chips e placas —, de modo a evitar que o cryptojacking atinja a linguagem de máquina dos elementos da rede.
Endpoint: campo de batalha contra o cryptojacking
E, finalmente, no caso dos computadores usados pelos colaboradores da empresa, inclusive em teletrabalho, a principal estratégia é contar com os recursos de proteção de soluções sob medida para a defesa de endpoints. Essas novas plataformas de segurança são “clientless” — ou seja, não possuem componentes instalados no endpoint, o que preserva a performance desse computador — e protegem o PC a partir de análises comportamentais muito sofisticadas. Essa inteligência efetivamente identifica as tentativas de cryptojacking, evitando que a invasão aconteça. No caso de haver a suspeita de um computador já ter sido contaminado pelo cryptojacking, a solução coloca imediatamente esse PC em quarentena, evitando que o malware se alastre por toda a rede.
O novo mundo criado pela pandemia fez do computador pessoal um mini data center onde os mais críticos processos de negócios acontecem. A economia digital brasileira precisa de ambientes livres de cryptojacking para atingir sua máxima performance. Quem somar a proteção do endpoint e da rede às melhores práticas em cyber segurança atingirá esse alvo.
* Arley Brogiato é diretor da SonicWall América Latina e Caribe.