Mineração ainda é uma séria ameaça aos negócios

Os mineradores ainda representam uma ameaça para as empresas – especialmente aquelas que usam infraestrutura em nuvem.

Como mostra nosso recente estudo especializado, apesar da queda no preço de muitas criptomoedas e da decisão de uma das maiores criptomoedas – Ethereum – de se afastar da mineração, mineradores mal-intencionados continuam a ameaçar os negócios. As empresas que usam infraestrutura em nuvem estão particularmente em risco. Exploramos os perigos da mineração e como proteger os recursos de computação das empresas.

A mineração morreu. Ou quase

Muitos previram o fim da corrida pela mineração após o anúncio da Ethereum de que passaria da confirmação de transações usando o protocolo prova de trabalho para o modelo prova de participação. A prova de trabalho requer um grande poder de computação, enquanto a prova de participação precisa de um número significativamente menor de participantes e recursos para confirmar uma transação — é milhares de vezes mais eficiente computacionalmente. O abandono do conceito proof-of-work, em teoria, poderia ter causado uma queda significativa na popularidade da mineração.

A tão esperada mudança aconteceu em 15 de setembro e, até certo ponto, de fato atingiu a popularidade da mineração. Por exemplo, o preço das placas de vídeo usadas para minerar Etherium caiu drasticamente à medida que essas unidades inundaram o mercado secundário. Os envolvidos na mineração legal começaram a mudar para a mineração de outras criptomoedas, vender seus sistemas de computação ou criar outros usos para eles. No entanto, esse declínio na atividade não se estende aos invasores que mineram às custas de outros.

O fato é que eles nunca foram tão focados na mineração de Etherium – sendo apenas a terceira moeda mais popular. Em vez disso, eles preferiram minerar Monero, o que garante o anonimato total das transações. Para produzir o Monero, a mineração ainda é necessária, mas as placas de vídeo não. Essa criptomoeda é mais facilmente minerada em CPUs comuns, que, ao contrário de GPUs poderosas, são encontradas em qualquer computador. Os mais poderosos trabalham em servidores – naturalmente, eles atraem os invasores acima de tudo.

Como mineradores ameaçam os negócios

Já falamos sobre os problemas que os mineradores podem causar para o usuário doméstico:

  • Contas de energia mais altas
  • Lentidão na performance causada por sobrecarga no processador e/ou na placa de vídeo.

Pode parecer uma tempestade em um copo d’água: muitos mantêm seus computadores ligados o tempo todo mesmo, e a maioria dos usuários pode aguentar lentidão. Mas para os negócios, as ameaças são muito piores. Além do exposto acima, criptomineradores indesejados podem levar a:

  • Desgaste acelerado do equipamento, causando falha prematura (também é um problema para usuários domésticos, mas afeta em especial os negócios);
  • Aumento da carga nos servidores da empresa, que assim como em um ataque DDOS, pode tirar os serviços do ar; indisponibilidade ou operação instável de serviços significa perdas;
  • Aumento dos custos de manutenção da infraestrutura em nuvem; isso também não é brincadeira – quando no final do mês Amazon, Google ou Microsoft acrescentam um zero à conta, isso causa estragos no balanço da empresa. De acordo com um relatório do Google, em 86% dos casos de comprometimento bem-sucedido de uma conta do Google Cloud Platform, os invasores instalaram mineradores; ao mesmo tempo, os custos de mineração de criptomoeda na infraestrutura de nuvem são em média 53 vezes maiores do que o retorno, o que, claro, não inibe os cibercriminosos, pois eles não arcam com os custos

Mineradores atacam provedores de infraestrutura com terror

Os ataques de mineradores representam a pior ameaça para as empresas que não apenas usam a infraestrutura de nuvem, mas fornecem aos clientes serviços baseados nas nuvens dos principais provedores. E especialmente se eles fornecem IaaS (Infraestrutura como serviço) ou PaaS (Plataforma como serviço).

A diferença entre essas empresas e as demais é que elas devem se preocupar não apenas com mineradores mal-intencionados que penetram secretamente na infraestrutura, mas também com mineradores regulares e legítimos.

Se uma empresa fornece infraestrutura ou plataforma como serviço, seus clientes têm certa liberdade para usar essa infraestrutura ou plataforma: geralmente podem usar como quiserem, inclusive rodando diversos aplicativos — entre eles mineradores.

Não é incomum que os cibercriminosos criem várias contas em tais serviços de uma só vez e as usem para executar mineração sem permitir que consumam mais recursos do que o serviço fornece em uma conta gratuita. Tal ataque envolvendo centenas de contas pode colocar uma carga monstruosa nos servidores, deixando o serviço em alerta máximo e aumentando enormemente os gastos com infraestrutura da empresa. Além do mais, pode ser mais difícil para um provedor de infraestrutura detectar tal ataque do que, digamos, uma empresa SaaS, já que nem sempre é possível ver todos os processos executados pelos clientes devido à sua própria política de privacidade.

Como os negócios podem lidar com os mineradores

Pelo exposto acima, fica claro que as empresas não podem simplesmente fechar os olhos para a ameaça da mineração. Em primeiro lugar, no mundo ideal, deve ser evitada; mas se não houver êxito, deve ser detectada e interrompida o mais rápido possível.

De acordo com outros dados do Google, a maioria dos casos de comprometimento do servidor ocorre devido a senhas fracas e controle de acesso insuficiente. Portanto, o foco deve estar no acesso aos recursos de computação:

  • Defina senhas fortes e exclusivas em todos os lugares;
  • Sempre habilite a autenticação de dois fatores para acessar os recursos dos provedores de nuvem (se a senha for vazada ou for alvo de força bruta, os invasores não obterão o controle da conta sem o segundo fator)
  • Restrinja o acesso ao gerenciamento de infraestrutura — quanto menos funcionários tiverem altos privilégios de acesso, menor será a probabilidade de o acesso ser comprometido
  • Use soluções de segurança que detectam atividades suspeitas em dispositivos físicos e máquinas virtuais

Os provedores de IaaS e PaaS, adicionalmente, devem:

  • Ter a capacidade de monitorar a atividade do usuário de uma forma ou de outra; se não for possível monitorar os processos ativos no nível da máquina virtual (impedindo a execução de scripts idênticos por diferentes usuários), pelo menos certifique-se de que um mesmo repositório não seja usado por várias contas diferentes
  • Tenha um sistema de alerta bem ajustado para atividades atípicas e envolva especialistas que podem responder rapidamente
  • Preste mais atenção à correção oportuna de vulnerabilidades no software que lida com a infraestrutura ou plataforma, pois os invasores podem explorá-las para invadir e instalar mineradores.
Dicas