Sophos anuncia relatório com descobertas sobre o criptominerador Tor2Mine

A Sophos, empresa global em cibersegurança de próxima geração, divulgou novas descobertas sobre o minerador de cripto Tor2Mine. O relatório, intitulado “Two flavors of Tor2Mine miner dig deep into networks with PowerShell, VBScript“, mostra como o minerador evita a detecção e se espalha automaticamente por uma rede-alvo, se tornando cada vez mais difícil de ser removido de um sistema afetado. O Tor2Mine é um criptominerador da moeda virtual Monero, e está ativo há pelo menos dois anos.

Na pesquisa, a Sophos descreve novas variantes do minerador que incluem um script PowerShell, que visa desabilitar a proteção contra malware, executar a carga útil do minerador e roubar credenciais de administradores de Windows. O que acontece a seguir depende se os invasores obtêm privilégios administrativos com as credenciais roubadas. Este processo é igual para todas as variantes analisadas.

Por exemplo, se os invasores conseguirem obter credenciais administrativas, podem proteger o acesso privilegiado necessário para instalar os arquivos de mineração. Além disso, podem pesquisar dentro da rede outras máquinas nas quais é possível instalar os arquivos de mineração. Isso permite que o Tor2Mine se espalhe ainda mais e seja incorporado aos dispositivos conectados à rede.

Se os invasores não conseguirem garantir privilégios administrativos, o Tor2Mine ainda pode executar o minerador remotamente e sem arquivos, através de comandos que são executados como tarefas agendadas. Neste caso, o software de mineração é armazenado remotamente, e não em uma máquina comprometida. Ainda, todas as variantes tentam desligar a proteção anti-malware e instalar o mesmo código do minerador. Da mesma forma, em todos os casos, ele continuará a reinfectar sistemas na rede, a menos que encontre uma proteção contra malware ou seja completamente excluído da rede.

“A presença de mineradores, como o Tor2Mine, em uma rede é quase sempre um prenúncio de outras invasões potencialmente mais perigosas. No entanto, o Tor2Mine é muito mais agressivo do que outros criptomineradores”, explica Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos. “Depois de estabelecer uma base em uma rede, é difícil eliminá-lo sem a ajuda de um software de proteção de endpoint e outras medidas anti-malware, pois essas modalidades se espalham lateralmente longe do ponto inicial da invasão e não podem ser excluídas apenas com a limpeza do sistema. Os mineradores tentam continuamente reinfectar outros sistemas na rede, mesmo depois do servidor de comando e controle ser bloqueado ou ficar offline. À medida que as criptomoedas continuam a aumentar em valor e a dar suporte ao cenário de ransomware e ciber extorsão, podemos ver o surgimento de mais variantes, ainda mais agressivas, de outros criptominadores”.

Os pesquisadores da Sophos também descobriram scripts projetados para eliminar uma variedade de processos e tarefas. Quase todos eles são relacionados a crimewares, incluindo mineradores concorrentes de criptomoedas e malware clippers que roubam endereços de carteiras de criptomoedas.

“Os mineradores são uma forma de baixo risco para cibercriminosos transformarem uma vulnerabilidade em dinheiro digital, porém existe um risco ainda maior para o fluxo de caixa se mineradores concorrentes descobrirem os mesmos servidores vulneráveis”, completa Gallagher.

A Sophos traz as seguintes recomendações para ajudar as organizações a protegerem suas redes e endpoints contra criptomineradores como o Tor2Mine:

Corrigir vulnerabilidades de software rapidamente em sistemas voltados para a internet, como aplicativos da web, serviços VPN e servidores de e-mail;
Instalar soluções anti-malware — os mineradores, em geral, são facilmente detectados por tais tecnologias — particularmente aqueles que utilizam a Interface de Software Anti-Malware (AMSI) do Windows para detectar scripts destinados a desligar a proteção contra malware;
Monitorar utilizações intensas de poder de processamento, desempenho reduzido de computadores e contas de energia mais altas do que o esperado, pois qualquer um desses pode indicar a presença de criptominadores na rede.

A Sophos detecta variantes do Tor2Mine, como a família MineJob (MineJob-A a E), além dos comportamentos de script de cada variante. Os indicadores de comprometimento para as variantes do Tor2Mine discutidas na pesquisa estão disponíveis na página do GitHub da SophosLabs.
Saiba mais sobre a análise da Sophos do Tor2Mine em SophosLabs Uncut.

Serviço
www.sophos.com