A defesa contra malware de cryptojacking depende de muitas das mesmas táticas usadas para proteção contra ransomware e outros malwares – em particular, um modelo de segurança Zero Trust
Ivan Marzariolli (*)
O interesse por criptomoedas no momento não está restrito a investidores, pioneiros de internet e consumidores experientes em tecnologia. Os cibercriminosos agora estão usando táticas semelhantes a ransomware e sites maliciosos para se infiltrar nos computadores de funcionários das empresas e aproveitá-los secretamente para mineração de criptomoedas – uma exploração chamada criptojacking. As implicações desses ataques ultrapassam o poder de processamento roubado e prejudicam a produtividade dos funcionários.
Os hackers, por meio do simples ato de invadir a rede da organização-alvo, expõem as vulnerabilidades dos seus recursos de defesa cibernética. Projetado para escapar da detecção ao longo do tempo, o malware cryptojacking mantém uma presença persistente no ambiente da empresa, representando uma ameaça contínua às suas operações.
Em 2020, cerca de 90% de todos os ataques de execução remota de código estavam ligados à criptomineração. O golpe de criptojacking foi considerado responsável por 4,32% do volume de Monero (criptomoeda de código aberto criada em abril de 2014) em circulação. De acordo com a Agência da União Europeia para Cibersegurança (ENISA), o criptojacking aumentou 30% entre março de 2019 e março de 2020.
A defesa contra malware de cryptojacking depende de muitas das mesmas táticas usadas para proteção contra ransomware e outros malwares – em particular, um modelo de segurança Zero Trust. Tal como acontece com outros tipos de ameaças, a eficácia do Zero Trust depende da capacidade da organização de impedir que o malware oculto no tráfego legítimo possa invadir sua rede. Isso, por sua vez, depende da inspeção SSL (recurso de segurança de filtros da Web de terceiros), um processo que pode ter seu próprio impacto negativo no desempenho.
Para aproveitar o Zero Trust como parte de uma estratégia de segurança cibernética contra criptojacking ou qualquer outro tipo de malware, as empresas precisam ser capazes de realizar a descriptografia, inspeção e recodificação do tráfego de rede em alta velocidade e em escala empresarial, sem incorrer em penalidades de desempenho ou complexidade excessiva.
Embora um ataque de ransomware ou exfiltração de dados possa ter um impacto catastrófico em uma organização, o criptojacking também não pode ser considerado de menor impacto. Por um lado, um ataque bem-sucedido mostra que os hackers conseguiram ultrapassar as defesas de segurança cibernética da empresa, mostrando que ela é igualmente vulnerável a outros tipos de malware.
Projetado para o roubo contínuo de recursos ao longo do tempo, o software de criptojacking também permite que os criminosos cibernéticos mantenham uma presença contínua na rede da vítima, possivelmente abrindo caminho para danos mais graves à medida que as táticas dos criminosos cibernéticos continuam a evoluir.
Estratégia Zero Trust e monitoramento de tráfego
Manter o malware de criptojacking fora da rede – junto com ransomware e todos os outros tipos de ameaça – depende de uma estratégia de segurança cibernética de várias camadas com Zero Trust em seu núcleo. À medida que os conceitos tradicionais de zonas seguras, perímetros e segmentos de rede desaparecem na era da computação em nuvem, do trabalho remoto e da arquitetura corporativa em evolução, as organizações precisam ser capazes de se proteger contra ataques de qualquer pessoa, em qualquer lugar – até mesmo internos com acesso legítimo. Com a metodologia Zero Trust, as organizações “não confiam em ninguém”, dentro ou fora da rede, e usam microssegmentos e micro perímetros, privilégios de usuário restritos, integração de solução em várias camadas e visibilidade abrangente para evitar ataques e detectar ameaças de onde quer que se originem.
O monitoramento de rede desempenha um papel central na estratégia Zero Trust. O criptojacking é relativamente fácil de detectar no tráfego de rede não criptografado, especialmente porque os fornecedores de software antivírus e de proteção de endpoint adicionam detecção de criptomineração a seus produtos. No entanto, a grande maioria do tráfego da Internet agora é criptografada com SSL / TLS (recurso de segurança de filtros da Web de terceiros), incluindo mais de 90% do tráfego que passa pelos serviços do Google, com níveis semelhantes relatados por outros fornecedores. Isso torna a inspeção SSL um elemento-chave da segurança cibernética contra criptojacking e outros malwares.
Muitos fornecedores de segurança adicionaram a inspeção SSL às suas soluções para permitir a descriptografia, inspeção e nova criptografia do tráfego à medida que ele entra e sai da organização. Mas executar essa função de maneira distribuída, com processos separados de descriptografia, inspeção e recriptografia, cria gargalos de rede e problemas de desempenho que podem comprometer a qualidade do serviço para usuários corporativos e clientes tanto quanto o próprio malware de criptojacking. Enquanto isso, a necessidade de implantar chaves privadas em vários locais na infraestrutura de segurança de vários fornecedores e dispositivos amplia a superfície de ataque, aumentando o risco.
(*) Gerente geral da A10 Networks do Brasil