A Sophos, empresa líder global em cibersegurança de próxima geração, divulgou novas descobertas sobre o minerador de cripto Tor2Mine. O relatório, intitulado "Two flavors of Tor2Mine miner dig deep into networks with PowerShell, VBScript", mostra como o minerador evita a detecção e se espalha automaticamente por uma rede-alvo, se tornando cada vez mais difícil de ser removido de um sistema afetado. O Tor2Mine é um criptominerador da moeda virtual Monero, e está ativo há pelo menos dois anos.

Na pesquisa, a Sophos descreve novas variantes do minerador que incluem um script PowerShell, que visa desabilitar a proteção contra malware, executar a carga útil do minerador e roubar credenciais de administradores de Windows. O que acontece a seguir depende se os invasores obtêm privilégios administrativos com as credenciais roubadas. Este processo é igual para todas as variantes analisadas.

Por exemplo, se os invasores conseguirem obter credenciais administrativas, podem proteger o acesso privilegiado necessário para instalar os arquivos de mineração. Além disso, podem pesquisar dentro da rede outras máquinas nas quais é possível instalar os arquivos de mineração. Isso permite que o Tor2Mine se espalhe ainda mais e seja incorporado aos dispositivos conectados à rede.

Se os invasores não conseguirem garantir privilégios administrativos, o Tor2Mine ainda pode executar o minerador remotamente e sem arquivos, através de comandos que são executados como tarefas agendadas. Neste caso, o software de mineração é armazenado remotamente, e não em uma máquina comprometida. Ainda, todas as variantes tentam desligar a proteção anti-malware e instalar o mesmo código do minerador. Da mesma forma, em todos os casos, ele continuará a reinfectar sistemas na rede, a menos que encontre uma proteção contra malware ou seja completamente excluído da rede.

"A presença de mineradores, como o Tor2Mine, em uma rede é quase sempre um prenúncio de outras invasões potencialmente mais perigosas. No entanto, o Tor2Mine é muito mais agressivo do que outros criptomineradores", explica Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos. "Depois de estabelecer uma base em uma rede, é difícil eliminá-lo sem a ajuda de um software de proteção de endpoint e outras medidas anti-malware, pois essas modalidades se espalham lateralmente longe do ponto inicial da invasão e não podem ser excluídas apenas com a limpeza do sistema. Os mineradores tentam continuamente reinfectar outros sistemas na rede, mesmo depois do servidor de comando e controle ser bloqueado ou ficar offline. À medida que as criptomoedas continuam a aumentar em valor e a dar suporte ao cenário de ransomware e ciber extorsão, podemos ver o surgimento de mais variantes, ainda mais agressivas, de outros criptominadores".

Os pesquisadores da Sophos também descobriram scripts projetados para eliminar uma variedade de processos e tarefas. Quase todos eles são relacionados a crimewares, incluindo mineradores concorrentes de criptomoedas e malware clippers que roubam endereços de carteiras de criptomoedas.

"Os mineradores são uma forma de baixo risco para cibercriminosos transformarem uma vulnerabilidade em dinheiro digital, porém existe um risco ainda maior para o fluxo de caixa se mineradores concorrentes descobrirem os mesmos servidores vulneráveis", completa Gallagher.

A Sophos traz as seguintes recomendações para ajudar as organizações a protegerem suas redes e endpoints contra criptomineradores como o Tor2Mine:

Corrigir vulnerabilidades de software rapidamente em sistemas voltados para a internet, como aplicativos da web, serviços VPN e servidores de e-mail;
Instalar soluções anti-malware — os mineradores, em geral, são facilmente detectados por tais tecnologias — particularmente aqueles que utilizam a Interface de Software Anti-Malware (AMSI) do Windows para detectar scripts destinados a desligar a proteção contra malware;
Monitorar utilizações intensas de poder de processamento, desempenho reduzido de computadores e contas de energia mais altas do que o esperado, pois qualquer um desses pode indicar a presença de criptominadores na rede.

A Sophos detecta variantes do Tor2Mine, como a família MineJob (MineJob-A a E), além dos comportamentos de script de cada variante. Os indicadores de comprometimento para as variantes do Tor2Mine discutidas na pesquisa estão disponíveis na página do GitHub da SophosLabs.

Saiba mais sobre a análise da Sophos do Tor2Mine em SophosLabs Uncut.

Informações adicionais

Pesquisas adicionais da Sophos sobre criptomineradores podem ser encontradas no SophosLabs Uncut, incluindo relatórios sobre MrbMiner, LemonDuck, ataques baseados em NPM e invasores desconhecidos tentando explorar vulnerabilidades do Microsoft Exchange para instalar criptominadores de Monero;
Mais detalhes sobre a evolução do cenário de ameaças cibernéticas podem ser encontrados no Relatório de Ameaças Sophos 2022;
Táticas, técnicas e procedimentos (TTPs) e muito mais, para diferentes tipos de ameaças, estão disponíveis no SophosLabs Uncut, fornecedor de inteligência de ameaças da Sophos;
Informações sobre comportamentos de invasores, relatórios de incidentes e conselhos para profissionais de operações de segurança estão disponíveis no Sophos News SecOps;
Saiba mais sobre o serviço de Rapid Response da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, sete dias por semana;
As quatro principais dicas para responder a um incidente de segurança do Sophos Rapid Response e da Equipe de Managed Threat Response;
Leia as últimas notícias e opiniões sobre segurança no premiado site de notícias Sophos Naked Security e no Sophos News.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido.