Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es el cryptojacking?

Cómo prevenirlo, detectarlo y recuperarse de él

[12/09/2018] El cryptojacking es el uso no autorizado de la computadora de otra persona para extraer criptomonedas. Los hackers hacen esto tras hacer que la víctima haga clic en un enlace malicioso de un correo electrónico que carga código criptográfico en la computadora, o al infectar un sitio web o un anuncio en línea con código JavaScript que se ejecuta automáticamente una vez cargado en el navegador de la víctima.

De cualquier manera, la minería del criptocódigo funciona en segundo plano, ya que las víctimas desprevenidas usan sus computadoras normalmente. El único signo que pueden notar es un rendimiento más lento o retrasos en la ejecución.

Por qué el cryptojacking está en aumento

Nadie sabe con certeza la cantidad de criptomonedas que se extraen a través del cryptojacking, pero no hay duda de que la práctica es desenfrenada. El criptockeo basado en navegador está creciendo rápidamente. En noviembre pasado, Adguard informó una tasa de crecimiento del 31%, para el cryptojacking en el navegador. Su investigación encontró 33 mil sitios web que ejecutan scripts de cripto minería. Adguard estimó que esos sitios tenían mil millones de visitantes mensuales combinados.

En febrero pasado, Bad Packets Report encontró 34.474 sitios que ejecutan Coinhive, el minero de JavaScript más popular que también se utiliza para la actividad de criptografía legítima. En julio, Check Point Software Technologies informó que cuatro de los diez malware más importantes que encontró eran criptomineros, incluidos los dos primeros: Coinhive y Cryptoloot.

"Crypto mining, o la criptominería, está en su infancia. Hay mucho espacio para el crecimiento y la evolución", señala Marc Laliberte, analista de amenazas del proveedor de soluciones de seguridad de red WatchGuard Technologies. Él señala que Coinhive es fácil de implementar y generó 300 mil dólares en su primer mes. "Ha crecido bastante desde entonces. Es dinero realmente fácil".

En enero, los investigadores descubrieron el botnet de criptografía Smominru, que infectó a más de medio millón de máquinas, principalmente en Rusia, India y Taiwán. El botnet se dirigió a los servidores de Windows para minar Monero, y la empresa de seguridad cibernética Proofpoint estimó que había generado alrededor de 3,6 millones de dólares en valor a partir de finales de enero.

El cryptojacking ni siquiera requiere habilidades técnicas significativas. Según el informe, The New Gold Rush Cryptocurrencies son la nueva frontera del fraude de Digital Shadows, los kits de cryptojacking están disponibles en la web oscura por tan solo 30 dólares.

La sencilla razón por la cual el criptojacking se está volviendo más popular entre los hackers, es que se puede obtener más dinero por menos riesgo. "Los hackers ven el cryptojacking como una alternativa más barata y más rentable al ransomware", señala Alex Vaystikh, CTO y cofundador de SecBI. Con el ransomware, un pirata informático podría hacer pagar a tres personas por cada 100 computadoras infectadas, explica. Con cryptojacking, las 100 máquinas infectadas funcionan para que el pirata informático extraiga criptomonedas. "El hacker podría hacer lo mismo que esos tres pagos de ransomware, pero la criptografía continuamente genera dinero", anota.

El riesgo de ser atrapado e identificado también es mucho menor que con el ransomware. El código de minería de cifrado se ejecuta subrepticiamente y puede pasar desapercibido durante mucho tiempo. Una vez descubiertos, es muy difícil encontrar el origen y las víctimas tienen pocos incentivos para hacerlo, ya que nada fue robado o encriptado. Los hackers tienden a preferir las criptomonedas anónimas como Monero y Zcash sobre la popular Bitcoin porque es más difícil hacer un seguimiento de la actividad ilegal.

Cómo funciona el cryptojacking

Los hackers tienen dos formas principales de conseguir que la computadora de una víctima les de criptomonedas secretamente. Una es engañar a las víctimas para que carguen el código cryptomining en sus computadoras. Esto se hace a través de tácticas de phishing: las víctimas reciben un correo electrónico de aspecto legítimo que les anima a hacer clic en un enlace. El enlace ejecuta un código que coloca la secuencia de comandos de cryptomining en la computadora. El script se ejecuta en segundo plano a medida que la víctima trabaja.

El otro método es inyectar un script en un sitio web o un anuncio que se envía a varios sitios web. Una vez que las víctimas visitan el sitio web o el anuncio infectado aparece en sus navegadores, el script se ejecuta automáticamente. No se almacena ningún código en las computadoras de las víctimas. Independientemente del método que se use, el código ejecuta complejos problemas matemáticos en las computadoras de las víctimas y envía los resultados a un servidor que controla el hacker.

Los hackers a menudo usarán ambos métodos para maximizar su rendimiento. "Los ataques usan viejos trucos de malware para entregar software más confiable y persistente, a las computadoras de las víctimas, como respaldo", anota Vaystikh. Por ejemplo, de 100 dispositivos que extraen criptomonedas para un pirata informático, el 10% podría estar generando ingresos a partir del código en las máquinas de las víctimas, mientras que el 90% lo hace a través de sus navegadores web.

A diferencia de la mayoría de los otros tipos de malware, los scripts de cryptojacking no dañan las computadoras ni los datos de las víctimas. Roban recursos de procesamiento de la CPU. Para usuarios individuales, un rendimiento más lento de la computadora puede ser solo una molestia. La organización con muchos sistemas infectados puede generar costos reales en términos de asistencia técnica y tiempo de TI dedicado a rastrear problemas de rendimiento y reemplazar componentes o sistemas con la esperanza de resolver el problema.

Ejemplos de cryptojacking en el mundo real

Los cryptojackers son inteligentes y han ideado una serie de esquemas para que las computadoras de otras personas extraigan criptomonedas. La mayoría no son nuevos; los métodos de entrega de criptografía a menudo se derivan de los utilizados para otros tipos de malware como ransomware o adware. "Está empezando a ver muchas cosas tradicionales que los malhechores han hecho en el pasado", señala Travis Farral, director de estrategia de seguridad en Anomali. "En lugar de entregar un ransomware o un troyano, lo están reorganizando para entregar módulos o componentes de minería de datos criptográficos".

Aquí hay algunos ejemplos del mundo real:

BadShell usa los procesos de Windows para hacer su trabajo sucio: hace unos meses, Comodo Cybersecurity encontró malware en el sistema de un cliente que usaba procesos legítimos de Windows para extraer criptomonedas. Apodado BadShell, utilizó:

  • PowerShell para ejecutar comandos: un script de PowerShell inyecta el código de malware en un proceso en ejecución existente.
  • Programador de tareas para garantizar la persistencia
  • Registro para contener el código binario del malware

Puede encontrar más detalles sobre cómo funciona BadShell en el Informe Global de Amenazas Q2 2018 de Comodo.

Sistemas de empleados desordenados: En la conferencia EmTech Digital a principios de este año, Darktrace contó la historia de un cliente, un banco europeo, que experimentaba algunos patrones de tráfico inusuales en sus servidores. Los procesos nocturnos se ejecutaban lentamente, y las herramientas de diagnóstico del banco no descubrieron nada. Darktrace descubrió que los nuevos servidores estaban en línea durante ese tiempo, servidores que el banco dijo que no existían. Una inspección física del centro de datos reveló que un miembro corrupto había instalado un sistema cryptomining debajo de las tablas del suelo.

Sirviendo cryptominers a través de GitHub: En marzo, Avast Software informó que los cryptojackers usaban GitHub como host para el malware de cryptominería. Encuentran proyectos legítimos a partir de los cuales crean un proyecto bifurcado. El malware luego se oculta en la estructura de directorios de ese proyecto bifurcado. Usando un esquema de phishing, los cryptojackers atraen a las personas a descargar ese malware a través de, por ejemplo, una advertencia para actualizar su reproductor Flash o la promesa de un sitio de juegos de contenido para adultos.

Explotando una vulnerabilidad de rTorrent: Los criptojackers han descubierto una vulnerabilidad de configuración errónea de rTorrent que deja a algunos clientes accesibles sin autenticación para la comunicación de XML-RPC. Escanean Internet en busca de clientes expuestos y luego implementan un criptomer de Monero sobre ellos. F5 Networks informó esta vulnerabilidad, en febrero, y aconseja a los usuarios de rTorrent que se aseguren de que su los clientes no aceptan conexiones externas.

Facexworm: Extensión maliciosa de Chrome: Este malware, descubierto por Kaspersky Labs en el 2017, es una extensión de Google Chrome que usa Facebook Messenger para infectar las computadoras de los usuarios. Inicialmente Facexworm entregaba adware. A principios de este año, Trend Micro encontró una variedad de Facexworm que se enfocaba en los intercambios de criptomonedas y era capaz de administrar código de cryptominería. Aún utiliza cuentas infectadas de Facebook para entregar enlaces maliciosos, pero también puede robar cuentas y credenciales web, lo que le permite inyectarles código criptográfico.

WinstarNssmMiner: Política de tierra quemada: En mayo, 360 Total Security identificó un cryptominero que se extendió rápidamente y resultó efectivo para los cryptojackers. Apodado WinstarNssmMiner, este malware también tiene una desagradable sorpresa para cualquiera que intente eliminarlo: bloquea la computadora de la víctima. WinstarNssmMiner lo hace iniciando primero un proceso svchost.exe e inyectando código en él y estableciendo el atributo del proceso generado en CriticalProcess. Dado que la computadora lo ve como un proceso crítico, se bloquea una vez que se elimina el proceso.

CoinMiner busca y destruye competidores: El cryptojacking se ha vuelto tan frecuente que los hackers están diseñando malware para encontrar y matar cryptomineros que ya funcionan en los sistemas que infectan. CoinMiner es un ejemplo.

Según Comodo, CoinMiner comprueba la presencia de un proceso AMDDriver64 en sistemas Windows. Dentro del malware CoinMiner hay dos listas, $ malwares y $ malwares2, que contienen los nombres de procesos conocidos por ser parte de otros criptomoneadores. Luego mata esos procesos.

Cómo prevenir el cryptojacking

Siga estos pasos para minimizar el riesgo de que su organización sea víctima de cryptojacking:

Incorpore al cryptojacking como amenaza en su entrenamiento de conciencia de seguridad, centrándose en intentos de tipo phishing para cargar scripts en las computadoras de los usuarios. "La capacitación lo ayudará a protegerlo cuando las soluciones técnicas fallen", señala Laliberte. Él cree que el phishing seguirá siendo el método principal para entregar malware de todo tipo.

La capacitación de los empleados no ayudará con la ejecución automática de criptoaficiones de sitios web legítimos. "La capacitación es menos efectiva para el criptoackeo porque no se le puede decir a los usuarios a qué sitios web no acceder", anota Vaystikh.

Instale una extensión de bloqueo de anuncios o anti criptografía en los navegadores web. Dado que los scripts de criptoactivamiento a menudo se entregan a través de anuncios web, la instalación de un bloqueador de anuncios puede ser un medio eficaz para detenerlos. Algunos bloqueadores de anuncios como Ad Blocker Plus tienen alguna capacidad para detectar scripts de minería de datos criptográficos. Laliberte recomienda extensiones como No Coin y MinerBlock, que están diseñados para detectar y bloquear scripts de criptominería.

Use protección de punto final que sea capaz de detectar mineros criptográficos conocidos. Muchos de los proveedores de software de protección de punto final/antivirus han agregado la detección de criptominería a sus productos. "Un antivirus es una de las mejores cosas a tener en los endpoints para protegerse contra la minería criptográfica. Si se conoce, es muy probable que se detecte", señala Farral. Solo tenga en cuenta, agrega, que los autores de criptomineros cambian constantemente sus técnicas para evitar la detección en el punto final.

Mantenga sus herramientas de filtrado web actualizadas. Si identifica una página web que está entregando secuencias de comandos cryptojacking, asegúrese de que sus usuarios no puedan volver a acceder a ella.

Mantenga extensiones de navegador. Algunos atacantes usan extensiones de navegador maliciosas o envenenan extensiones legítimas para ejecutar scripts de minería de datos criptográficos.

Use una solución de administración de dispositivos móviles (MDM, por sus siglas en inglés) para controlar mejor lo que hay en los dispositivos de los usuarios. Las políticas de traer su propio dispositivo (BYOD, por sus siglas en inglés) presentan un desafío para prevenir la criptografía ilícita. "MDM puede recorrer un largo camino para mantener a BYOD más seguro", anota Laliberte. Una solución de MDM puede ayudar a administrar aplicaciones y extensiones en los dispositivos de los usuarios. Las soluciones de MDM tienden a estar orientadas a empresas más grandes, y las empresas más pequeñas a menudo no pueden pagarlas. Sin embargo, Laliberte señala que los dispositivos móviles no están tan en riesgo como las computadoras de escritorio y los servidores. Debido a que tienden a tener menos poder de procesamiento, no son tan lucrativos para los piratas informáticos.

Cómo detectar el cryptojacking

Al igual que el ransomware, el cryptojacking puede afectar a su organización a pesar de sus mejores esfuerzos para detenerlo. Detectarlo puede ser difícil, especialmente si solo unos pocos sistemas están comprometidos. No confíe en sus herramientas de protección de endpoints existentes para detener el criptockeo. "El código de criptominería puede ocultarse de las herramientas de detección basadas en firmas", anota Laliberte. "Las herramientas antivirus de escritorio no lo verán". Esto es lo que funcionará:

Entrene a su escritorio de ayuda para buscar señales de minería criptográfica. A veces, la primera indicación es un pico en las quejas de la mesa de ayuda sobre el rendimiento lento de la computadora, señala Vaystikh de SecBI. Eso debería levantar una bandera roja para investigar más.

Otras señales que la mesa de ayuda debería buscar incluye el sobrecalentamiento de los sistemas, que podrían causar fallas en la CPU o en el ventilador de enfriamiento, añade Laliberte. "El calor, por el uso excesivo de la CPU, causa daños y puede reducir el ciclo de vida de los dispositivos", comenta. Esto es especialmente cierto para dispositivos móviles delgados como tabletas y teléfonos inteligentes.

Implemente una solución de monitoreo de red. Vaystikh cree que el cryptojacking es más fácil de detectar en una red corporativa que en el hogar, porque la mayoría de las soluciones de punto final para consumidores no lo detectan. Cryptojacking es fácil de detectar a través de soluciones de monitoreo de red, y la mayoría de las organizaciones corporativas tienen herramientas de monitoreo de red.

Sin embargo, pocas organizaciones con herramientas y datos de motor de red tienen las herramientas y capacidades para analizar esa información para una detección precisa. SecBI, por ejemplo, desarrolla una solución de inteligencia artificial para analizar datos de red y detectar cryptojacking y otras amenazas específicas.

Laliberte está de acuerdo en que el monitoreo de la red es su mejor opción para detectar la actividad de criptominería. "El monitoreo del perímetro de la red que revisa todo el tráfico web tiene una mejor posibilidad de detectar criptomineros", señala. Muchas soluciones de monitoreo desglosan esa actividad a usuarios individuales para que pueda identificar qué dispositivos se ven afectados.

"Si tiene un buen filtrado de salida en un servidor en el que está viendo el inicio de la conexión saliente, eso puede ser una buena detección para el malware criptogénico", anota Farral. Advierte, sin embargo, que los autores de la criptmoniería son capaces de escribir su malware para evitar ese método de detección.

Controle sus propios sitios web en busca de código criptográfico. Farral advierte que los cryptojackers están encontrando maneras de colocar bits de código Javascript en los servidores web. "El servidor en sí no es el objetivo, pero cualquiera que visite el sitio web corre el riesgo de infección", señala. Él recomienda monitorear regularmente los cambios de archivos en el servidor web o los cambios en las páginas.

Manténgase al tanto de las tendencias de cryptojacking. Los métodos de entrega y el código criptominero en sí están en constante evolución. Comprender el software y los comportamientos puede ayudarlo a detectar el "cryptojacking", anota Farral. "Una organización inteligente se mantendrá al tanto de lo que está sucediendo. Si comprende los mecanismos de entrega para este tipo de cosas, sabrá que este kit de exploit particular está entregando material criptográfico. Las protecciones contra el kit de explotación serán protecciones contra la infección por malware de criptominería", señala.

Cómo responder a un ataque de cryptojacking

Mate y bloquee scripts entregados por el sitio web. Para los ataques de JavaScript en el navegador, la solución es simple una vez que se detecta la criptominería: elimine la pestaña del navegador que ejecuta el script. TI debe tener en cuenta la URL del sitio web que es el origen del script y actualizar los filtros web de la empresa para bloquearlo. Considere desplegar herramientas anti criptominería para ayudar a prevenir futuros ataques.

Actualice y purgue las extensiones del navegador. "Si una extensión infecta el navegador, cerrar la pestaña no ayudará", señala Laliberte. "Actualice todas las extensiones y elimine las que no sean necesarias o que estén infectadas".

Aprenda y adáptese. Use la experiencia para comprender mejor cómo es que el atacante pudo poner en peligro sus sistemas. Actualice su usuario, mesa de ayuda y capacitación de TI para que puedan identificar mejor los intentos de detección de criptografía y respondan en consecuencia.