[26/03/2021] Cryptojacking es el uso no autorizado de la computadora de otra persona para extraer criptomonedas. Los hackers logran esto haciendo que la víctima haga clic en un enlace malicioso en un correo electrónico que carga código de minería de criptomonedas en la computadora, o infectando una página web o anuncio en línea con código JavaScript que se ejecuta automáticamente una vez que se carga en el navegador de la víctima.
De cualquier manera, el código de criptominería funciona en segundo plano mientras las víctimas desprevenidas usan sus computadoras con normalidad. La única señal que pueden notar es un rendimiento más lento o retrasos en la ejecución.
Cómo funciona el cryptojacking
Los hackers tienen dos formas principales de hacer que la computadora de la víctima extraiga criptomonedas en secreto. Una es engañar a las víctimas para que carguen código de criptominería en sus computadoras. Esto se hace mediante tácticas similares al phishing: las víctimas reciben un correo electrónico de apariencia legítima que las anima a hacer clic en un enlace. El enlace ejecuta un código que coloca el script de criptominería en la computadora. Luego, el script se ejecuta en segundo plano mientras la víctima trabaja.
El otro método es inyectar un script en una página web o un anuncio que se envía a varias páginas web. Una vez que las víctimas visitan la página web o el anuncio infectado aparece en sus navegadores, el script se ejecuta automáticamente. No se almacena ningún código en las computadoras de las víctimas. Cualquiera que sea el método utilizado, el código ejecuta problemas matemáticos complejos en las computadoras de las víctimas, y envía los resultados a un servidor que controla el hacker.
Los hackers suelen utilizar ambos métodos para maximizar su rendimiento. "Los ataques utilizan viejos trucos de malware para producir software más confiable y persistente [a las computadoras de las víctimas] como alternativa”, afirma Alex Vaystikh, CTO y cofundador de SecBI. Por ejemplo, de 100 dispositivos que extraen criptomonedas para un hacker, el 10% podría estar generando ingresos a partir del código en las máquinas de las víctimas, mientras que el 90% lo hace a través de sus navegadores web.
Algunos scripts de criptominería tienen capacidades de desparasitación que les permiten infectar otros dispositivos y servidores en una red. También los hace más difíciles de encontrar y eliminar; mantener la persistencia en una red es lo mejor para el interés financiero del cryptojacker.
Para aumentar su capacidad de propagarse a través de una red, el código de criptominería puede incluir varias versiones para tener en cuenta las diferentes arquitecturas de la red. En un ejemplo descrito en una publicación de blog de AT&T Alien Labs, el código de criptominería simplemente se descarga los implantes para cada arquitectura hasta que uno funcione.
Los scripts también pueden verificar si el dispositivo ya está infectado por el malware de criptominería de la competencia. Si se detecta otro criptominer, el script lo deshabilita. Un criptominer también podría tener un mecanismo de prevención de desactivación, que se ejecuta cada pocos minutos, como señala la publicación de AT&T Alien Lab.
A diferencia de la mayoría de los otros tipos de malware, los scripts de cryptojacking no dañan las computadoras ni los datos de las víctimas. Roban los recursos de procesamiento de la CPU. Para los usuarios individuales, un rendimiento más lento de la computadora puede ser solo una molestia. La organización con muchos sistemas criptojackeados puede incurrir en costos reales en términos de soporte técnico, y tiempo de TI dedicado a rastrear problemas de rendimiento y reemplazar componentes o sistemas con la esperanza de resolver el problema.
Por qué el cryptojacking es popular
Nadie sabe con certeza cuánta criptomoneda se extrae a través del cryptojacking, pero no hay duda de que la práctica es desenfrenada. El cryptojacking basado en el navegador creció rápidamente al principio, pero parece estar disminuyendo, probablemente debido a la volatilidad de la criptomoneda y el cierre de Coinhive, el JavaScript minero más popular, que también fue utilizado para actividades legítimas de criptominería en marzo del 2019. El SonicWall Cyber Threat Report del 2020 revela que el volumen de ataques de criptojacking cayó 78% en la segunda mitad del 2019 como resultado del cierre de Coinhive.
Sin embargo, el declive comenzó antes. El informe Cybersecurity Threatscape Q1 2019, de Positive Technology, muestra que, desde principios del 2018, donde representaba el 23%, la criptominería ahora representa sólo el 7% de todos los ataques. El informe sugiere que los ciberdelincuentes han optado más por el ransomware, que se considera más rentable.
"La criptominería está en su infancia. Hay mucho espacio para el crecimiento y la evolución”, afirma Marc Laliberte, analista de amenazas de WatchGuard Technologies, proveedor de soluciones de seguridad de red.
En enero del 2018, los investigadores descubrieron la red de bots de criptominería Smominru, que infectó a más de medio millón de máquinas, principalmente en Rusia, India y Taiwán. La botnet apuntó a los servidores de Windows para minar Monero, y la firma de ciberseguridad Proofpoint estimó que, a fines de enero, había generado hasta 3,6 millones de dólares en valor.
El cryptojacking ni siquiera requiere habilidades técnicas significativas. Según el informe The new gold rush cryptocurrencies are the new frontier of fraud,, de Digital Shadows, los kits de cryptojacking están disponibles en la web oscura por tan solo 30 dólares.
La simple razón por la que el cryptojacking se está volviendo más popular entre los hackers es que es más dinero por menos riesgo. "Los hackers ven el cryptojacking como una alternativa más barata y rentable al ransomware”, afirma Vaystikh. Con ransomware, un hacker podría conseguir que tres personas paguen por cada 100 computadoras infectadas, explica. Con el cryptojacking, las 100 máquinas infectadas funcionan para que el hacker extraiga criptomonedas. "El hacker podría ganar lo mismo que con esos tres pagos de ransomware, pero la criptominería genera dinero continuamente”, afirma.
El riesgo de ser atrapado e identificado también es mucho menor que con el ransomware. El código de criptominería se ejecuta secretamente y puede pasar desapercibido durante mucho tiempo. Una vez descubierto, es muy difícil rastrear la fuente y las víctimas tienen pocos incentivos para hacerlo, ya que nada fue robado o cifrado. Los hackers tienden a preferir las criptomonedas anónimas como Monero y Zcash por encima de Bitcoin, la más popular, porque es más difícil rastrear la actividad ilegal hasta ellos.
Ejemplos de cryptojacking en el mundo real
Los cryptojackers son muy inteligentes y han ideado una serie de esquemas para hacer que las computadoras de otras personas extraigan criptomonedas. La mayoría no son nuevos; los métodos de producción de criptominería a menudo se derivan de los utilizados para otros tipos de malware, como el ransomware o el adware. "Se está empezando a ver muchas de las cosas tradicionales que los autores maliciosos han hecho en el pasado”, afirma Travis Farral, director de estrategia de seguridad de Anomali. "En lugar de entregar ransomware o un troyano, lo están reestructurando para entregar módulos o componentes de criptominería”.
A continuación, se muestran algunos ejemplos reales:
El spear-phishing PowerGhost roba las credenciales de Windows: El informe de la Cyber Threat Alliance (CTA), The Illicit Cryptocurrency Mining Threat, describe a PowerGhost -que fue analizado por primera vez por Fortinet- como un malware sigiloso que puede evitar la detección de varias formas. Primero usa spear phishing para afianzarse en un sistema y luego roba las credenciales de Windows y aprovecha la instrumentación de Windows Management, así como el exploit EternalBlue, para propagarse. Luego intenta deshabilitar el software antivirus y los criptomineros de la competencia.
Graboid, un gusano criptominero se propagó mediante contenedores: En octubre, Palo Alto Networks publicó un informe describiendo una botnet de criptojacking con capacidades de expansión autónoma. Graboid, como lo llamaron, es el primer gusano criptominero conocido. Se propaga al encontrar implementaciones de Docker Engine que están expuestas a Internet sin autenticación. Palo Alto Networks estimó que Graboid había infectado más de dos mil implementaciones de Docker.
Las cuentas maliciosas de Docker Hub minan Monero: En junio del 2020, Palo Alto Networks identificó un esquema de criptojacking que usaba imágenes de Docker en la red de Docker Hub para producir software de criptominería en los sistemas de las víctimas. Colocar el código de criptominería dentro de una imagen de Docker ayuda a evitar la detección. Se accedió a las imágenes infectadas más de dos millones de veces, y Palo Alto estima que los cryptojackers obtuvieron 36 mil dólares en ganancias ilícitas.
La variante de MinerGate suspende la ejecución cuando la computadora de la víctima está en uso: Según el informe de CTA, Palo Alto Networks ha analizado una variante de la familia de malware MinerGate, y ha encontrado una característica interesante. Puede detectar el movimiento del mouse y suspender las actividades mineras. Esto evita alertar a la víctima, que de otro modo podría notar una caída en el rendimiento.
BadShell usa los procesos de Windows para hacer el trabajo sucio: Hace unos meses, Comodo Cybersecurity encontró malware en el sistema de un cliente que usaba procesos legítimos de Windows para extraer criptomonedas. Llamado BadShell, utilizó:
- PowerShell para ejecutar comandos: un script de PowerShell inyecta el código de malware en un proceso en ejecución existente.
- Programador de tareas para garantizar la persistencia
- Registro para contener el código binario del malware
Puede encontrar más detalles sobre cómo funciona BadShell en la edición del Global Threat Report Q2 2018, de Comodo.
Empleado deshonesto comandaba los sistemas de la empresa: A principios de este año, en la conferencia EmTech Digital, Darktrace compartió la historia de un cliente, un banco europeo, que estaba experimentando algunos patrones de tráfico inusuales en sus servidores. Los procesos nocturnos se estaban ejecutando lentamente y las herramientas de diagnóstico del banco no descubrieron nada. Darktrace descubrió que se estaban conectando nuevos servidores durante ese tiempo, servidores que el banco afirmó que no existían. Una inspección física del centro de datos reveló que un empleado deshonesto había instalado un sistema de criptominería debajo de las tablas del piso.
Servir a los criptomineros a través de GitHub: En marzo, Avast Software informó que los cryptojackers estaban usando GitHub como host para el malware de criptominería. Encuentran proyectos legítimos a partir de los cuales crean un proyecto separado. Luego, el malware se oculta en la estructura de directorios de ese proyecto separado. Usando un esquema de phishing, los cryptojackers atraen a las personas para que descarguen ese malware mediante, por ejemplo, una advertencia para actualizar su reproductor Flash, o la promesa de un sitio de juegos de contenido para adultos.
Explotación de una vulnerabilidad de rTorrent: Los cryptojackers han descubierto una vulnerabilidad de configuración incorrecta de rTorrent, que permite que algunos clientes de rTorrent sean accesibles sin autenticación para la comunicación XML-RPC. Escanean Internet en busca de clientes expuestos, y luego implementan un cryptominer Monero en ellos. F5 Networks informó esta vulnerabilidad en febrero, y advierte a los usuarios de rTorrent para asegurarse de que sus clientes no acepten conexiones externas.
Facexworm - Extensión maliciosa de Chrome: Este malware, descubierto por primera vez por Kaspersky Labs, en el 2017, es una extensión de Google Chrome que usa Facebook Messenger para infectar las computadoras de los usuarios. Inicialmente, Facexworm distribuía adware. A principios de este año, Trend Micro encontró una variedad de Facexworm que apuntaba a los intercambios de criptomonedas y pudo producir código de criptominería. Todavía usa cuentas de Facebook infectadas para producir enlaces maliciosos, pero también puede robar cuentas y credenciales web, lo que le permite inyectar código de cryptojacking en esas páginas web.
WinstarNssmMiner - la estrategia de tierra quemada: En mayo, 360 Total Security identificó un cryptominer que se propagó rápidamente y resultó efectivo para los cryptojackers. Apodado WinstarNssmMiner, este malware también tiene una desagradable sorpresa para cualquiera que haya intentado eliminarlo: bloquea la computadora de la víctima. WinstarNssmMiner hace esto iniciando primero un proceso svchost.exe e inyectando código en él, estableciendo el atributo del proceso generado en CriticalProcess. Dado que la computadora lo ve como un proceso crítico, se bloquea una vez que se elimina el proceso.
CoinMiner busca y destruye a los competidores: El cryptojacking se ha vuelto lo suficientemente frecuente como para que los hackers estén diseñando su malware para encontrar y matar a los criptominers que ya se están ejecutando en los sistemas que infectan. CoinMiner es un ejemplo.
Según Comodo, CoinMiner comprueba la presencia de un proceso AMDDriver64 en los sistemas Windows. Dentro del malware CoinMiner hay dos listas, $malwares y $malwares2, que contienen los nombres de procesos que se sabe forman parte de otros criptomineros. Luego elimina esos procesos.
Los routers MikroTik comprometidos propagan criptominers: En septiembre del año pasado, Bad Packets informó que había estado monitoreando más de ochenta campañas de criptojacking dirigidas a routers MikroTik, lo que proporciona evidencia de que cientos de miles de dispositivos estaban comprometidos. Las campañas explotaron una vulnerabilidad conocida (CVE-2018-14847) para la que MikroTik había proporcionado una actualización. Sin embargo, no todos los propietarios lo habían aplicado. Dado que MikroTik produce routers de nivel de operador, los perpetradores de criptojacking tenían un amplio acceso a los sistemas que podrían estar infectados.
Cómo evitar el cryptojacking
Siga estos pasos para minimizar el riesgo de que su organización sea presa del cryptojacking:
- Incorpore la amenaza del cryptojacking en su capacitación de concientización sobre seguridad, centrándose en intentos de phishing para cargar scripts en las computadoras de los usuarios. "La capacitación lo ayudará a protegerse cuando las soluciones técnicas puedan fallar”, afirma Laliberte. Cree que el phishing seguirá siendo el método principal para distribuir malware de todo tipo. La capacitación de los empleados no ayudará con la ejecución automática de cryptojacking al visitar páginas web legítimas. "El entrenamiento es menos efectivo para el cryptojacking porque no se les puede decir a los usuarios a qué páginas web no deben ir”, afirma Vaystikh.
- Instale una extensión de bloqueo de anuncios o anticriptominería en los navegadores web. Dado que los scripts de cryptojacking se envían a menudo a través de anuncios web, la instalación de un bloqueador de anuncios puede ser un medio eficaz para detenerlos. Algunos bloqueadores de anuncios como Ad Blocker Plus tienen alguna capacidad para detectar scripts de criptominería. Laliberte recomienda extensiones como No Coin y MinerBlock, que están diseñados para detectar y bloquear scripts de criptominería.
- Utilice protección de terminal que sea capaz de detectar criptominers conocidos. Muchos de los proveedores de software antivirus/protección de terminales han agregado detección de criptominers a sus productos. "El antivirus es una de las cosas buenas que se pueden tener en los terminales para tratar de proteger contra la minería de criptomonedas. Si se conoce, es muy probable que se detecte”, afirma Farral. Solo tenga en cuenta, agrega, que los autores de criptomonedas menores cambian constantemente sus técnicas para evitar la detección en el terminal.
- Mantenga actualizadas sus herramientas de filtrado web. Si identifica una página web que ofrece scripts de cryptojacking, asegúrese de que sus usuarios no puedan acceder a ella nuevamente.
- Mantener las extensiones del navegador. Algunos atacantes están utilizando extensiones de navegador maliciosas o envenenando extensiones legítimas para ejecutar scripts de criptominería.
- Utilice una solución de administración de dispositivos móviles (MDM, por sus siglas en inglés) para controlar mejor lo que hay en los dispositivos de los usuarios. Las políticas de traer su propio dispositivo (BYOD, por sus siglas en inglés) presentan un desafío para evitar la criptominería ilícita. "Los MDM pueden ser de gran ayuda para mantener la BYOD más segura”, afirma Laliberte. Una solución MDM puede ayudar a administrar aplicaciones y extensiones en los dispositivos de los usuarios. Las soluciones MDM tienden a estar orientadas a empresas más grandes y las empresas más pequeñas a menudo no pueden pagarlas. Sin embargo, Laliberte señala que los dispositivos móviles no corren tanto riesgo como las computadoras de escritorio y los servidores. Debido a que tienden a tener menos poder de procesamiento, no son tan lucrativos para los hackers.
Ninguna de las mejores prácticas anteriores es infalible. En reconocimiento de eso, y de la creciente prevalencia del cryptojacking, el proveedor de soluciones de riesgo cibernético, Coalition, ahora ofrece cobertura de seguro contra el fraude de servicios. Según un comunicado de prensa, reembolsará a las organizaciones, y las pérdidas financieras directas debido al uso fraudulento de los servicios comerciales, incluyendo a la criptominería.
Cómo detectar el cryptojacking
Al igual que el ransomware, el cryptojacking puede afectar a su organización a pesar de sus mejores esfuerzos para detenerlo. Detectarlo puede ser difícil, especialmente si solo unos pocos sistemas están comprometidos. No cuente con sus actuales herramientas de protección de terminales para detener al cryptojacking. "El código de criptominería puede esconderse de las herramientas de detección basadas en firmas”, afirma Laliberte. "Las herramientas antivirus de escritorio no los verán”. Esto es lo que funcionará:
Entrene a su mesa de ayuda a buscar señales de criptominería. A veces, el primer indicio es un aumento en las quejas de la mesa de ayuda sobre el rendimiento lento de la computadora, afirma Vaystikh de SecBI. Eso debería ser una advertencia para investigar más a fondo.
Otras señales que la mesa de ayuda debe buscar podrían ser los sistemas de overheating, lo que podría causar fallas en la CPU o en el ventilador de enfriamiento, afirma Laliberte. "El calor [por el uso excesivo de la CPU] causa daños y puede reducir el ciclo de vida de los dispositivos”, afirma. Esto es especialmente cierto en el caso de dispositivos móviles delgados como tabletas y smartphones.
Implementar una solución de monitoreo de red. Vaystikh cree que el cryptojacking es más fácil de detectar en una red corporativa que en casa, porque la mayoría de las soluciones de terminal del consumidor no lo detectan. El cryptojacking es fácil de detectar a través de soluciones de monitoreo de red, y la mayoría de las organizaciones corporativas tienen herramientas de monitoreo de red.
Sin embargo, pocas organizaciones con herramientas y datos de manejo de redes, tienen las herramientas y capacidades para analizar esa información para una detección precisa. SecBI, por ejemplo, desarrolla una solución de inteligencia artificial para analizar los datos de la red y detectar criptojacking y otras amenazas específicas.
Laliberte está de acuerdo en que el monitoreo de la red es su mejor opción para detectar actividad de criptominería. "El monitoreo del perímetro de la red que revisa todo el tráfico web tiene más posibilidades de detectar criptominers”, afirma. Muchas soluciones de monitoreo desglosan esa actividad en usuarios individuales para identificar qué dispositivos se ven afectados.
"Si tiene un buen filtrado de salida en un servidor donde está observando el inicio de la conexión saliente, eso puede ser una buena detección para [malware de criptominería]”, afirma Farral. Sin embargo, advierte que los autores de los criptominers pueden escribir su malware para evitar ese método de detección.
Supervise sus propias páginas web en busca de código de minería criptográfica. Farral advierte que los secuestradores de criptomonedas están encontrando formas de colocar fragmentos de código JavaScript en servidores web. "El servidor en sí no es el objetivo, sino que cualquiera que visite la página web [se arriesga a infectarse]”, afirma. Él recomienda monitorear regularmente los cambios de archivos en el servidor web o cambios en las páginas mismas.
Manténgase al tanto de las tendencias de cryptojacking. Los métodos de producción y el código de criptominería en sí están en constante evolución. Comprender el software y los comportamientos puede ayudarlo a detectar el cryptojacking, afirma Farral. "Una organización inteligente se mantendrá al tanto de lo que está sucediendo. Si comprende los mecanismos de producción de este tipo de cosas, sabrá que este kit de exploits en particular está proporcionando cosas criptográficas. Las protecciones contra el kit de exploits serán protecciones contra la infección por malware de minería de criptomonedas”, afirma.
En diciembre del 2020, por ejemplo, Akamai informó que una conocida botnet de minería de criptomonedas había cambiado de táctica para evitar ser eliminada. Los operadores de la botnet le habían agregado una dirección de billetera bitcoin al malware, así como una URL para una API de verificación de billetera y una serie críptica de frases sencillas de bash anidadas. Los investigadores de Akamai concluyeron que el código usaba los datos de la billetera que se obtenían de la API para calcular una dirección IP, que luego usaba para la persistencia e infectar más sistemas.
"Esta es una técnica muy inteligente y estratégica. Permite a los operadores almacenar datos de configuración en la cadena de bloques. Al introducir una pequeña cantidad de BTC en la billetera, pueden recuperar sistemas infectados que han quedado huérfanos”, señalaron los investigadores en su informe.
Cómo responder a un ataque de cryptojacking
Elimine y bloquee los scripts enviados por la página web. Para los ataques de JavaScript en el navegador, la solución es simple una vez que se detecta la minería de criptomonedas: elimine la pestaña del navegador que ejecuta el script. TI debe anotar la URL de la página web que es la fuente del script y actualizar los filtros web de la empresa para bloquearla. Considere la posibilidad de implementar herramientas anticriptominería para ayudar a evitar futuros ataques.
Actualizar y depurar las extensiones del navegador. "Si una extensión infectó el navegador, cerrar la pestaña no ayudará”, afirma Laliberte. "Actualice todas las extensiones y elimine las que no sean necesarias o que estén infectadas”.
Aprender y adaptarse. Utilice la experiencia para comprender mejor cómo el atacante pudo comprometer sus sistemas. Actualice la capacitación a sus usuarios, servicio de ayuda y TI para que puedan identificar mejor los intentos de cryptojacking y responder como corresponda.
Basado en el artículo de Michael Nadeau (CSO) y editado por CIO Perú