Em abril de 2026, mais de mil sistemas expostos na internet foram comprometidos e passaram a minerar criptomoedas sem que seus operadores percebessem. O número chama atenção, mas o foco na mineração ainda esconde o ponto principal.
O criptojacking, prática em que uma máquina é usada sem autorização para minerar criptomoedas, é apenas a primeira camada.
Para que um sistema seja usado dessa forma, o acesso já foi obtido, a execução remota, ou seja, a capacidade de rodar comandos à distância, já foi possível, e o controle do ambiente já não é mais exclusivo. A mineração entra depois, como forma de transformar esse acesso em receita contínua.
Esse detalhe muda a forma como o problema precisa ser entendido.
O ataque segue um padrão simples e recorrente. Sistemas expostos na internet, ou seja, acessíveis diretamente por qualquer pessoa ou ferramenta online, são identificados por varreduras automatizadas. Isso pode ser um servidor corporativo, que é um computador responsável por rodar aplicações e serviços, com uma API aberta, que é uma interface usada para comunicação entre sistemas e funciona como uma porta digital que recebe e responde a solicitações.
Em um cenário comum, uma empresa expõe um painel interno ou uma API sem proteção adequada. Essa “porta digital” é identificada em minutos, explorada automaticamente e passa a permitir execução remota. A partir daí, o sistema continua operando normalmente, mas já sob controle externo.
O invasor então instala um minerador. O sistema segue funcionando, mas parte da sua capacidade passa a ser desviada. Em servidores, isso significa menos desempenho para aplicações críticas. Em máquinas pessoais, aparece como lentidão, aquecimento constante e consumo elevado de energia.
Esse tipo de exploração utiliza o poder de processamento do dispositivo. A CPU pode ser entendida como o “cérebro” do computador, responsável pelas tarefas gerais, enquanto a GPU executa muitos cálculos ao mesmo tempo, o que a torna mais eficiente para operações como a mineração.
Na prática, isso significa que, enquanto o sistema executa suas funções normais, parte do seu processamento está sendo desviado para gerar criptomoedas para terceiros.
Criptomoedas como Monero são frequentemente utilizadas nesse contexto porqu dificultam o rastreamento dos valores gerados.
Mas a mineração não é o ponto principal.
Ela é apenas a forma mais simples de monetizar um acesso que já foi obtido.
Uma vez dentro, o invasor não precisa agir imediatamente. Ele pode permanecer. Pode transformar aquele acesso em um ativo contínuo. Em vez de roubar dados e sair, ele extrai valor ao longo do tempo.
Esse modelo permite algo diferente do que se via em ataques tradicionais. O mesmo acesso pode ser usado para capturar credenciais, como logins e senhas, explorar outros sistemas na rede ou até ser vendido em mercados clandestinos. Nesse contexto, o minerador funciona como uma renda passiva
Seguir o dinheiro sempre funcionou, até ele sair do banco
Agregador Cointimes