• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

Definición de Criptojacking

Cryptojacking es el uso no autorizado de la computadora de otra persona para extraer criptomonedas. Los piratas informáticos hacen esto haciendo que la víctima haga clic en un enlace malicioso en un correo electrónico que carga el código cryptomining en la computadora, o infectando un sitio web o un anuncio en línea con código JavaScript que se ejecuta automáticamente una vez cargado en el navegador de la víctima.

De cualquier manera, el código de criptominería funciona en segundo plano, ya que las víctimas desprevenidas usan sus computadoras normalmente. La única señal que pueden notar es un rendimiento más lento o retrasos en la ejecución.

Cómo funciona el cryptojacking

Los piratas informáticos tienen dos formas principales de hacer que la computadora de una víctima extraiga criptomonedas en secreto. Una es engañar a las víctimas para que carguen el código cryptomining en sus computadoras. Esto se hace a través de tácticas de phishing: las víctimas reciben un correo electrónico de aspecto legítimo que les anima a hacer clic en un enlace. El enlace ejecuta código que coloca el script cryptomining en la computadora. La secuencia de comandos se ejecuta en segundo plano mientras la víctima trabaja.

El otro método es inyectar un script en un sitio web o un anuncio que se entrega a varios sitios web. Una vez que las víctimas visitan el sitio web o el anuncio infectado aparece en sus navegadores, el script se ejecuta automáticamente. No se almacena ningún código en las computadoras de las víctimas. Cualquiera que sea el método utilizado, el código ejecuta problemas matemáticos complejos en las computadoras de las víctimas y envía los resultados a un servidor que controla el hacker.

Los hackers a menudo usan ambos métodos para maximizar su retorno. “Los ataques usan viejos trucos de malware para entregar un software más confiable y persistente [a las computadoras de las víctimas] como un retroceso”, dice Alex Vaystikh, CTO y cofundador de SecBI. Por ejemplo, de 100 dispositivos que extraen criptomonedas para un pirata informático, el 10% podría generar ingresos del código en las máquinas de las víctimas, mientras que el 90% lo hace a través de sus navegadores web.

Algunos scripts de criptominería tienen capacidades de desparasitación que les permiten infectar otros dispositivos y servidores en una red. También los hace más difíciles de encontrar y eliminar; Mantener la persistencia en una red está en el mejor interés financiero del cryptojacker.

Para aumentar su capacidad de propagarse a través de una red, el código de criptominería puede incluir múltiples versiones para dar cuenta de diferentes arquitecturas en la red. En un ejemplo descrito en una publicación de blog de AT&T Alien Labs , el código de criptominería simplemente descarga los implantes para cada arquitectura hasta que uno funciona.

Los scripts también pueden verificar si el dispositivo ya está infectado por el malware cryptomining de la competencia. Si se detecta otro cryptominer, el script lo deshabilita. Un criptominer también podría tener un mecanismo de prevención de muerte que se ejecuta cada pocos minutos, como señala el AT&T Alien Lab.

A diferencia de la mayoría de los otros tipos de malware, los scripts de cryptojacking no dañan las computadoras ni los datos de las víctimas. Roban recursos de procesamiento de CPU. Para usuarios individuales, un rendimiento más lento de la computadora puede ser solo una molestia. La organización con muchos sistemas cryptojacked puede incurrir en costos reales en términos de mesa de ayuda y tiempo de TI dedicado a rastrear problemas de rendimiento y reemplazar componentes o sistemas con la esperanza de resolver el problema.

¿Por qué el criptojacking es popular?

Nadie sabe con certeza cuánta criptomoneda se extrae a través del criptojacking, pero no hay duda de que la práctica es rampante. El criptojacking basado en navegador creció rápidamente al principio, pero parece estar disminuyendo, probablemente debido a la volatilidad de la criptomoneda y al cierre de Coinhive, el minero de JavaScript más popular que también se usó para la actividad de criptominería legítima, en marzo de 2019. La amenaza cibernética de SonicWall de 2020 El informe revela que el volumen de ataques de criptojacking cayó un 78% en la segunda mitad de 2019 como resultado del cierre de Coinhive.

Sin embargo, la disminución comenzó antes. El informe de Ciberseguridad Threatscape Q1 2019 de Positive Technology muestra que la criptominería ahora representa solo el 7% de todos los ataques, en comparación con el 23% a principios de 2018. El informe sugiere que los ciberdelincuentes han cambiado más al ransomware, que se considera más rentable.

“Cryptomining está en su infancia. Hay mucho espacio para el crecimiento y la evolución “, dice Marc Laliberte, analista de amenazas del proveedor de soluciones de seguridad de red WatchGuard Technologies.

En enero de 2018, los investigadores descubrieron la red de criptominería Smominru , que infectó a más de medio millón de máquinas, principalmente en Rusia, India y Taiwán. La red de bots apuntó a los servidores de Windows para extraer Monero, y la firma de seguridad cibernética Proofpoint estimó que había generado un valor de hasta $ 3.6 millones a fines de enero.

Cryptojacking ni siquiera requiere habilidades técnicas significativas. Según el informe, las nuevas criptomonedas de la fiebre del oro son la nueva frontera del fraude , de Digital Shadows, los kits de criptojacking están disponibles en la web oscura por tan solo $ 30.

La razón simple por la cual el cryptojacking se está volviendo más popular entre los hackers es más dinero por menos riesgo. “Los hackers ven el cryptojacking como una alternativa más barata y rentable al ransomware”, dice Vaystikh. Con ransomware, un hacker podría hacer que tres personas paguen por cada 100 computadoras infectadas, explica. Con el cryptojacking, las 100 máquinas infectadas trabajan para que el hacker extraiga la criptomoneda. “[El pirata informático] podría hacer lo mismo que esos tres pagos de ransomware, pero la criptominería genera dinero continuamente”, dice.

El riesgo de ser descubierto e identificado también es mucho menor que con el ransomware. El código de criptominería se ejecuta subrepticiamente y puede pasar desapercibido durante mucho tiempo. Una vez descubierto, es muy difícil rastrear hasta la fuente, y las víctimas tienen pocos incentivos para hacerlo, ya que nada fue robado o encriptado. Los hackers tienden a preferir las criptomonedas anónimas como Monero y Zcash sobre el Bitcoin más popular porque es más difícil rastrearles la actividad ilegal.

Ejemplos de criptojacking del mundo real

Los cryptojackers son muy inteligentes y han ideado una serie de esquemas para hacer que las computadoras de otras personas extraigan criptomonedas. La mayoría no son nuevos; Los métodos de entrega de criptominería a menudo se derivan de los utilizados para otros tipos de malware, como ransomware o adware. “Estás comenzando a ver muchas de las cosas tradicionales que los mal autores han hecho en el pasado”, dice Travis Farral, director de estrategia de seguridad de Anomali. “En lugar de entregar ransomware o un troyano, lo están reestructurando para entregar módulos o componentes de cripto-minería”.

Aquí hay algunos ejemplos del mundo real:

PowerGhost de pesca submarina roba las credenciales de Windows

El informe de la amenaza de minería de la criptomoneda ilícita de Cyber ​​Threat Alliance (CTA)  describe PowerGhost, analizado por primera vez por Fortinet, como malware sigiloso que puede evitar la detección de varias maneras. Primero usa la suplantación de identidad (phishing) para obtener un punto de apoyo en un sistema, y ​​luego roba las credenciales de Windows y aprovecha el Instrumental de administración de Windows y el exploit EternalBlue para difundirse. Luego intenta deshabilitar el software antivirus y los criptomineros de la competencia.

Graboid, un gusano cryptominder que se propaga usando contenedores

En octubre, Palo Alto Networks lanzó un informe que describe una red de bots cryptojacking con capacidades de propagación automática. Graboid, como lo llamaron, es el primer gusano de criptominería conocido. Se propaga al encontrar implementaciones de Docker Engine que están expuestas a Internet sin autenticación. Palo Alto Networks estimó que Graboid había infectado más de 2,000 implementaciones de Docker.

Cuentas maliciosas de Docker Hub mina Monero

En junio de 2020, Palo Alto Networks identificó un esquema de criptojacking que utilizaba imágenes de Docker en la red de Docker Hub para entregar software de criptominería a los sistemas de las víctimas. Colocar el código cryptomining dentro de una imagen Docker ayuda a evitar la detección. Se accedió a las imágenes infectadas más de dos millones de veces, y Palo Alto estima que los criptojackers se dieron cuenta de $ 36,000 en ganancias obtenidas ilegalmente.

La variante MinerGate suspende la ejecución cuando la computadora de la víctima está en uso

Según el informe de la CTA, Palo Alto Networks ha analizado una variante de la familia de malware MinerGate y encontró una característica interesante. Puede detectar el movimiento del mouse y suspender las actividades mineras. Esto evita avisar a la víctima, que de lo contrario podría notar una disminución en el rendimiento.

BadShell usa procesos de Windows para hacer su trabajo sucio

Hace unos meses, Comodo Cybersecurity encontró malware en el sistema de un cliente que utilizaba procesos legítimos de Windows para extraer criptomonedas. Apodado BadShell, usó:

  • PowerShell para ejecutar comandos: un script de PowerShell inyecta el código de malware en un proceso en ejecución existente.
  • Programador de tareas para garantizar la persistencia
  • Registro para contener el código binario del malware

 

Sistemas de la compañía de comandantes de empleados rebeldes

En la conferencia de EmTech Digital a principios de este año, Darktrace contó la historia de un cliente , un banco europeo, que estaba experimentando algunos patrones de tráfico inusuales en sus servidores. Los procesos nocturnos se ejecutaban lentamente, y las herramientas de diagnóstico del banco no descubrieron nada. Darktrace descubrió que los nuevos servidores estaban en línea durante ese tiempo, servidores que el banco dijo que no existían. Una inspección física del centro de datos reveló que un empleado deshonesto había instalado un sistema de criptominería debajo de las tablas del piso.

Sirviendo criptomineros a través de GitHub

En marzo, Avast Software informó que los cryptojackers estaban usando GitHub como host para el cifrado de malware . Encuentran proyectos legítimos a partir de los cuales crean un proyecto bifurcado. El malware se oculta en la estructura de directorios de ese proyecto bifurcado. Utilizando un esquema de phishing, los cryptojackers atraen a las personas a descargar ese malware a través de, por ejemplo, una advertencia para actualizar su reproductor Flash o la promesa de un sitio de juegos de contenido para adultos.

Explotación de una vulnerabilidad de rTorrent

Los cryptojackers han descubierto una vulnerabilidad de configuración incorrecta de rTorrent que deja a algunos clientes de rTorrent accesibles sin autenticación para la comunicación XML-RPC. Escanean Internet en busca de clientes expuestos y luego implementan un criptominer Monero en ellos. F5 Networks informó esta vulnerabilidad en febrero y aconseja a los usuarios de rTorrent que se aseguren de que sus clientes no acepten conexiones externas.

Facexworm: extensión maliciosa de Chrome

Este malware, descubierto por primera vez por Kaspersky Labs en 2017, es una extensión de Google Chrome que usa Facebook Messenger para infectar las computadoras de los usuarios. Inicialmente, Facexworm entregó adware. A principios de este año, Trend Micro encontró una variedad de Facexworm que apuntaba a intercambios de criptomonedas y era capaz de entregar código de criptominería. Todavía usa cuentas de Facebook infectadas para entregar enlaces maliciosos, pero también puede robar cuentas web y credenciales, lo que le permite inyectar código de cifrado en esas páginas web.

WinstarNssmMiner: política de tierra quemada

En mayo, 360 Total Security identificó un criptominer que se extendió rápidamente y demostró ser efectivo para los cryptojackers. Apodado WinstarNssmMiner, este malware también tiene una desagradable sorpresa para cualquiera que haya intentado eliminarlo: bloquea la computadora de la víctima. WinstarNssmMiner hace esto iniciando primero un proceso svchost.exe e inyectando código en él y configurando el atributo del proceso generado en CriticalProcess. Dado que la computadora ve como un proceso crítico, se bloquea una vez que se elimina el proceso.

CoinMiner busca y destruye competidores

El criptojacking se ha vuelto tan frecuente que los piratas informáticos están diseñando su malware para encontrar y matar a los criptomineros que ya están en funcionamiento en los sistemas que infectan. CoinMiner es un ejemplo.

Según Comodo, CoinMiner verifica la presencia de un proceso AMDDriver64 en los sistemas Windows. Dentro del malware CoinMiner hay dos listas, $ malwares y $ malwares2, que contienen los nombres de los procesos que se sabe que forman parte de otros criptomineros. Luego mata esos procesos.

Los enrutadores MikroTik comprometidos propagan criptomineros

Bad Packets informó en septiembre del año pasado que había estado monitoreando más de 80 campañas de criptojacking dirigidas a enrutadores MikroTik, lo que proporciona evidencia de que cientos de miles de dispositivos estaban en peligro. Las campañas explotaron una vulnerabilidad conocida ( CVE-2018-14847)  para la que MikroTik había proporcionado un parche. Sin embargo, no todos los propietarios lo habían aplicado. Dado que MikroTik produce enrutadores de nivel de operador, los perpetradores de criptojacking tenían un amplio acceso a sistemas que podrían infectarse.

Cómo prevenir el cryptojacking

Siga estos pasos para minimizar el riesgo de que su organización caiga presa del criptojacking:

Incorpore la amenaza de cryptojacking en su entrenamiento de concientización de seguridad , enfocándose en intentos de phishing para cargar scripts en las computadoras de los usuarios. “La capacitación ayudará a protegerlo cuando las soluciones técnicas puedan fallar”, dice Laliberte. Él cree que el phishing continuará siendo el método principal para entregar malware de todo tipo.

La capacitación de los empleados no ayudará con la ejecución automática de cryptojacking desde visitar sitios web legítimos. “La capacitación es menos efectiva para el cryptojacking porque no se puede decir a los usuarios a qué sitios web no deben ir”, dice Vaystikh.

Instale una extensión de bloqueo de anuncios o anti-criptominería en los navegadores web. Dado que los scripts de cryptojacking a menudo se entregan a través de anuncios web, instalar un bloqueador de anuncios puede ser un medio eficaz para detenerlos. Algunos bloqueadores de anuncios como Ad Blocker Plus tienen alguna capacidad para detectar scripts de criptominería. Laliberte recomienda extensiones como No Coin y MinerBlock , que están diseñadas para detectar y bloquear scripts de criptominería.