O Cryptojacking já se tornou uma das formas de ataque mais ativas e pervasivas nos últimos anos. Em um ataque de cryptojacking, um minerador de criptomoedas é instalado dentro do servidor ou página web para se aproveitar do CPU da máquina da vítima.

 

Tipos de Ataques de Cryptojacking

Em geral existem dois tipos de ataque de cryptojacking: baseados em servidor e baseados em navegador.

No approach do baseado em navegador, o atacante insere um código de JavaScript na página web, que então passa a minerar criptomoedas quando os usuários acessam a página. O método baseado em servidor roda o código de mineração diretamente no servidor de infraestrutura.

 

Protegendo as credenciais do servidor

É bastante óbvio que o acesso ao servidor deve ser propriamente protegido com credenciais seguras, mas infelizmente esse nem sempre é o caso.

Um relatório da F5 divulgado em janeiro mostrou que os hackers são capazes de introduzir um código de mineração nos servidores via SSH. Tudo que eles estavam fazendo era executar um ataque de brute-force em uma tentativa de alcançar a senha SSH.

Uma prática comum e eficiente para evitar ataques de brute-force é usar uma chave pareada SSH no lugar de uma senha.

Também é crítico ter uma proteção de controle de acesso para qualquer servidor em geral. Isso é especialmente válido para instâncias na nuvem, onde, por default, os servidores ficam abertos.

 

Realize o patch contra vulnerabilidades conhecidas

A gestão de paches é uma área essencial da TI e Segurança, que muitas vezes é deixada de lado e se torna um vetor para diversos ataques, inclusive o cryptojacking. Para os hackers, realizar scans em busca de vulnerabilidades conhecidas é uma atividade trivial, então, não se deixe ser pego por isso e mantenha um programa consistente de gestão e aplicação de patches.

 

Realize scans de sua rede

Mesmo com uma gestão eficiente de patches e controles rigorosos de acesso aos servidores, códigos de mineração de criptomoedas podem acabar entrando. Um usuário pode simplesmente aceitar instalar um aplicativo que tenha um malware de mineração escondido como download secundário e não é reconhecido por tecnologias de AV, por exemplo.

Contar com scans e ter visibilidade sobre o que está rodando nos servidores ao longo da rede é uma habilidade crítica para auxiliar na detecção de potenciais ataques de cryptojacking. A mineração de criptomoedas é intensiva no uso de recursos, de forma que qualquer CPU que esteja consumindo recursos além do esperado deve ser analisado.

A mineração de criptomoedas está sempre ligada a um pool de mineração. Isso significa que cada módulo individual de mineração vai se conectar a um recurso externo ( o pool de mineração) para receber novos blocos e validar os blocos concluídos. O update de regras de firewall/IPS é uma boa prática para identificar e bloquear pools conhecidos, limitando o cryptojacking.

 

Limite o risco de parceiros e terceirizados

Outra rota de ataque que pode ser tomada é inserir o código em um site por meio de extensões terceiras ou anúncios.

Para prevenir que qualquer script não autorizado rode em um website, as empresas podem usar um protocolo conhecido como Content Security Policy. A ideia original por trás do CSP era limitar o risco de Cross Site Scripting, mas também possui aplicação contra qualquer forma potencial de injeção de código. O CSP é definido no host do webserver e pode ser futuramente reforçado com o uso de Sub-Resource Integrity, que identifica quando um script foi modificado.