Um homem de 29 anos na Ucrânia foi preso por usar contas hackeadas para criar 1 milhão de servidores virtuais usados para extrair US$ 2 milhões (cerca de R$ 9,75 mi) em criptomoedas. A prisão foi anunciada pela Europol. E, acredita-se que o suspeito seja o mentor de um esquema de criptojacking em grande escala que envolve o sequestro de recursos de computação em nuvem para mineração de criptografia.
Mineração de criptomoedas nos servidores virtuais criados a partir de contas hackeadas
Ao utilizar os recursos computacionais de servidores de terceiros para minerar criptomoedas, os cibercriminosos podem lucrar às custas das organizações comprometidas, cujo desempenho de CPU e GPU é degradado pela mineração. Para compromissos locais, o dano se estende ao pagamento pelo aumento do uso de energia, comumente gerado pelos mineradores.
Um relatório de 2022 da Sysdig estimou o dano do cryptojacking em cerca de US$ 53 (cerca de R$ 258,00) para cada US$ 1 (cerca de R$ 4,88) em Monero (XMR) que os cibercriminosos exploram em dispositivos sequestrados.
A Europol diz que soube do ataque de cryptojacking em janeiro de 2023, por meio de um provedor de serviços de nuvem que estava investigando contas de nuvem comprometidas em sua plataforma. A polícia ucraniana e o fornecedor de serviços em nuvem trabalharam em conjunto para desenvolver informações operacionais que pudessem ser utilizadas para localizar e identificar o hacker.
A polícia afirma ter prendido o hacker no dia 9 de janeiro, quando apreendeu equipamentos de informática, cartões bancários e SIM, meios eletrônicos e outras evidências de atividades ilegais. Um relatório separado da polícia cibernética ucraniana explica que o suspeito está ativo desde 2021, quando usou ferramentas automatizadas para forçar brutamente as senhas de 1.500 contas de uma subsidiária de uma das maiores entidades de comércio eletrônico do mundo.
A Europol e a Ucrânia não identificaram a empresa de comércio eletrônico ou a sua subsidiária. O ator da ameaça usou então essas contas para obter acesso a privilégios administrativos, que foram usados para criar mais de um milhão de computadores virtuais para uso no esquema de criptomineração.
As autoridades ucranianas confirmaram que o suspeito estava usando carteiras de criptomoedas TON para movimentar os rendimentos ilegais, com transações equivalentes a cerca de US$ 2 milhões. O indivíduo preso agora enfrenta acusações criminais nos termos da Parte 5 do art. 361 (interferência não autorizada no trabalho de informação, comunicação eletrônica, redes de comunicação eletrônica) do Código Penal da Ucrânia.
Mitigando o risco
Os cibercriminosos geralmente têm como alvo os serviços em nuvem para sequestrar recursos de computação para mineração ilegal de criptomoedas. Os métodos de defesa contra ataques de cryptojacking incluem o monitoramento de atividades incomuns, como picos inesperados no uso de recursos, implementação de sistemas de proteção de endpoint e detecção de intrusões e limitação de privilégios administrativos e acesso a recursos críticos apenas para aqueles que deles precisam.
Os Cryptojackers muitas vezes exploram falhas documentadas em plataformas de nuvem para alcançar um compromisso inicial. Portanto, aplicar regularmente as atualizações de segurança disponíveis em todos os softwares é crucial para proteger os sistemas contra ameaças externas. Finalmente, todas as contas administrativas devem ter 2FA habilitado caso suas credenciais sejam roubadas.