Sophos divulga relatório com descobertas sobre o criptominerador Tor2Mine

Salvador, 07/12/2021 – A Sophos, empresa líder global em cibersegurança de próxima geração, divulgou novas descobertas sobre o minerador de cripto Tor2Mine. O relatório, intitulado “Two flavors of Tor2Mine miner dig deep into networks with PowerShell, VBScript“, mostra como o minerador evita a detecção e se espalha automaticamente por uma rede-alvo, se tornando cada vez mais difícil de ser removido de um sistema afetado. O Tor2Mine é um criptominerador da moeda virtual Monero, e está ativo há pelo menos dois anos.

Na pesquisa, a Sophos descreve novas variantes do minerador que incluem um script PowerShell, que visa desabilitar a proteção contra malware, executar a carga útil do minerador e roubar credenciais de administradores de Windows. O que acontece a seguir depende se os invasores obtêm privilégios administrativos com as credenciais roubadas. Este processo é igual para todas as variantes analisadas.

Por exemplo, se os invasores conseguirem obter credenciais administrativas, podem proteger o acesso privilegiado necessário para instalar os arquivos de mineração. Além disso, podem pesquisar dentro da rede outras máquinas nas quais é possível instalar os arquivos de mineração. Isso permite que o Tor2Mine se espalhe ainda mais e seja incorporado aos dispositivos conectados à rede.

Se os invasores não conseguirem garantir privilégios administrativos, o Tor2Mine ainda pode executar o minerador remotamente e sem arquivos, através de comandos que são executados como tarefas agendadas. Neste caso, o software de mineração é armazenado remotamente, e não em uma máquina comprometida. Ainda, todas as variantes tentam desligar a proteção anti-malware e instalar o mesmo código do minerador. Da mesma forma, em todos os casos, ele continuará a reinfectar sistemas na rede, a menos que encontre uma proteção contra malware ou seja completamente excluído da rede.

“A presença de mineradores, como o Tor2Mine, em uma rede é quase sempre um prenúncio de outras invasões potencialmente mais perigosas. No entanto, o Tor2Mine é muito mais agressivo do que outros criptomineradores”, explica Sean Gallagher, Pesquisador Sênior de Ameaças da Sophos. “Depois de estabelecer uma base em uma rede, é difícil eliminá-lo sem a ajuda de um software de proteção de endpoint e outras medidas anti-malware, pois essas modalidades se espalham lateralmente longe do ponto inicial da invasão e não podem ser excluídas apenas com a limpeza do sistema. Os mineradores tentam continuamente reinfectar outros sistemas na rede, mesmo depois do servidor de comando e controle ser bloqueado ou ficar offline. À medida que as criptomoedas continuam a aumentar em valor e a dar suporte ao cenário de ransomware e ciber extorsão, podemos ver o surgimento de mais variantes, ainda mais agressivas, de outros criptominadores”.

Os pesquisadores da Sophos também descobriram scripts projetados para eliminar uma variedade de processos e tarefas. Quase todos eles são relacionados a crimewares, incluindo mineradores concorrentes de criptomoedas e malware clippers que roubam endereços de carteiras de criptomoedas.

“Os mineradores são uma forma de baixo risco para cibercriminosos transformarem uma vulnerabilidade em dinheiro digital, porém existe um risco ainda maior para o fluxo de caixa se mineradores concorrentes descobrirem os mesmos servidores vulneráveis”, completa Gallagher.

A Sophos traz as seguintes recomendações para ajudar as organizações a protegerem suas redes e endpoints contra criptomineradores como o Tor2Mine:

1. Corrigir vulnerabilidades de software rapidamente em sistemas voltados para a internet, como aplicativos da web, serviços VPN e servidores de e-mail;

2. Instalar soluções anti-malware — os mineradores, em geral, são facilmente detectados por tais tecnologias — particularmente aqueles que utilizam a Interface de Software Anti-Malware (AMSI) do Windows para detectar scripts destinados a desligar a proteção contra malware;

3. Monitorar utilizações intensas de poder de processamento, desempenho reduzido de computadores e contas de energia mais altas do que o esperado, pois qualquer um desses pode indicar a presença de criptominadores na rede.

A Sophos detecta variantes do Tor2Mine, como a família MineJob (MineJob-A a E), além dos comportamentos de script de cada variante. Os indicadores de comprometimento para as variantes do Tor2Mine discutidas na pesquisa estão disponíveis na página do GitHub da SophosLabs.

Saiba mais sobre a análise da Sophos do Tor2Mine em SophosLabs Uncut.

Últimas notícias

Mídia
Guia TI Bahia é única mídia que indica negócios para os seus parceiros

Salvador, 24/04/2024 – No Instagram, a concorrência é realmente acirrada, e muitas empresas buscam se destacar nessa plataforma. No entanto, é importante considerar outras estratégias além das redes sociais para promover o seu negócio. O Guia TI Bahia é uma excelente opção para empresas de tecnologia que desejam ampliar sua visibilidade. Com 16 anos de […]
Artigos
Tecnologia, conexões humanas e vulnerabilidade: reflexões para o futuro da inovação

Por Ornella Nitardi, head de Inovação Aberta e Ecossistemas Digitais para América do Sul da BASF Salvador, 24/04/2024 – Os grandes eventos do ecossistema de inovação são sempre um imenso caldeirão de ideias, pessoas interessantes, conteúdos muito ricos e das mais diversas temáticas, além inúmeras atividades acontecendo ao mesmo tempo. Houve vários nessa primeira parte […]
Educação
CESAR School oferece quase 2 mil vagas gratuitas em cursos de tecnologia

Estão abertas as inscrições para o FAST Aceleração de Carreiras, em que profissionais de inovação serão capacitados, e para o FAST Transição de Carreiras, que ajuda na mudança para o setor de tecnologia Salvador, 24/04/2024 – A oportunidade de se aprofundar em áreas altamente requisitadas pelo mercado de tecnologia, de maneira ágil e com instrutores […]
Segurança
Aumentam ataques cibernéticos com alvo a instalações físicas

Em todo o mundo, grupos de ransomware têm intensificado ataques em redes de tecnologia operacional; especialistas alertam sobre medidas de prevenção Salvador, 24/04/2024 – As redes de tecnologia operacional (TO) estão cada vez mais na mira dos criminosos em todo o mundo – e também no Brasil. Ao menos 68 ataques a essas redes foram […]
Artigos
Como a Inteligência Artificial pode reduzir os falsos alarmes?

Por Camila Rissi, Cofundadora e CEO da Monuv Salvador, 24/04/2024 – A inteligência artificial (IA) tem se estabelecido como uma das tecnologias mais impactantes do século XXI, oferecendo inúmeras possibilidades de automação, otimização e aprimoramento em diversos setores da sociedade. Uma das áreas em que a IA tem demonstrado um impacto especialmente significativo é na […]

Menu