septiembre 28, 2021 Miguel Torres

Cryptojacking, qué es y como funciona esta amenaza que atacó al INE

Cryptojacking es el uso no autorizado del equipo de cómputo de otra persona para extraer criptomonedas. Los ciber atacantes logran esto al hacer que la víctima haga clic en un enlace malicioso en un correo electrónico que carga código de minería de criptomonedas en la computadora, o al infectar un sitio web o un anuncio en línea con código JavaScript que se ejecuta automáticamente una vez que se carga en el navegador de la víctima.

De cualquier manera, el código de criptominería funciona en segundo plano mientras las víctimas desprevenidas usan sus equipos normalmente. La única señal que pueden notar es un rendimiento más lento o retrasos en la ejecución.

Cómo funciona

Existen dos formas principales de hacer que la computadora de la víctima extraiga criptomonedas en secreto. La primera es engañar a las víctimas para que carguen código de criptominería en sus dispositivos. Esto se hace mediante tácticas similares al phishing: las víctimas reciben un correo electrónico de apariencia legítima que las anima a hacer clic en un enlace. El enlace ejecuta un código que coloca el script de criptominería en la computadora. Luego, el script se ejecuta en segundo plano mientras la víctima trabaja.

El otro método es inyectar un script en un sitio web o un anuncio que se envía a varias páginas web. Una vez que las víctimas visitan el sitio web o el anuncio infectado aparece en sus navegadores, el script se ejecuta automáticamente. No se almacena ningún código en las computadoras de las víctimas. En ambos escenarios, el código ejecuta problemas matemáticos complejos en las computadoras de las víctimas y envía los resultados a un servidor que controla el atacante.

Los ciber criminales suelen utilizar ambos métodos para maximizar su rendimiento. “Los ataques utilizan viejos trucos de malware para entregar software más confiable y persistente [a las computadoras de las víctimas] como alternativa”, dice Alex Vaystikh, CTO y cofundador de SecBI. Por ejemplo, de 100 dispositivos que extraen criptomonedas, el 10% podría estar generando ingresos a partir del código en las máquinas de las víctimas, mientras que el 90% lo hace a través de sus navegadores web.

Algunos scripts de criptominería tienen capacidades de worm (gusano) que les permiten infectar otros dispositivos y servidores en una red. También los hace más difíciles de encontrar y eliminar; mantener la persistencia en una red es lo mejor para el interés financiero del cryptojacker.

Para aumentar su capacidad de propagarse a través de una red, el código de criptominería puede incluir varias versiones para diferentes arquitecturas de la red. En un ejemplo descrito en una publicación de blog de AT&T Alien Labs, el código de criptominería simplemente descarga los implantes para cada arquitectura hasta que uno funciona. Los scripts también pueden verificar si el dispositivo ya está infectado por el malware de criptominería de otro atacante. Si se detecta “competencia”, el script lo deshabilita. Un criptominer también puede tener un mecanismo de prevención de “apagado” que se ejecuta cada pocos minutos.

Propósito del cryptojacking

A diferencia de la mayoría de los otros tipos de malware, los scripts de cryptojacking no dañan las computadoras ni los datos de las víctimas. Roban los recursos de procesamiento de la CPU. Para los usuarios individuales, un rendimiento de la computadora más lento puede ser solo una molestia. En una empresa con muchos sistemas “criptojackeados” puede incurrir en costos reales en términos de soporte técnico, procesamiento y utilización de recursos en nube así como tiempo de TI dedicado a rastrear problemas de rendimiento y reemplazar componentes o sistemas con la esperanza de resolver el problema. Al final la amenaza puede dejar malware o piezas de código que permiten al atacante usar esos equipos para uso distinto al minado lo cual puede traducirse en una futura brecha de datos.

¿Por qué es tan popular y diferente a un ransomware?

Nadie sabe con certeza cuántas criptomonedas se extraen a través del cryptojacking, pero no hay duda de que la práctica es desenfrenada. El criptojacking basado en navegador creció rápidamente al principio, pero parece estar disminuyendo, probablemente debido a la volatilidad de las criptomonedas y al cierre de Coinhive, el minero de JavaScript más popular que también se usó para la actividad legítima de criptominería, en marzo de 2019. El informe revela que el volumen de ataques de criptojacking cayó un 78% en la segunda mitad de 2019 como resultado del cierre de Coinhive.

Sin embargo, el declive comenzó antes. El informe Cybersecurity Threatscape Q1 2019 de Positive Technology muestra que la criptominería ahora representa solo el 7% de todos los ataques, frente al 23% a principios de 2018. El informe sugiere que los ciberdelincuentes se han pasado más al ransomware, que se considera más rentable.

“La criptominería está en su infancia. Hay mucho espacio para el crecimiento y la evolución ”, dice Marc Laliberte, analista de amenazas del proveedor de soluciones de seguridad de red WatchGuard Technologies.

En enero de 2018, los investigadores descubrieron la botnet de criptominería Smominru, que infectó a más de medio millón de máquinas, principalmente en Rusia, India y Taiwán. La botnet apuntó a los servidores de Windows para minar Monero, y la firma de ciberseguridad Proofpoint estimó que había generado hasta $ 3.6 millones en valor a fines de enero.

El cryptojacking ni siquiera requiere habilidades técnicas significativas. Según el informe de Positive Technology, Las nuevas criptomonedas consideradas “fiebre del oro” son la nueva frontera del fraude, los kits de criptojacking están disponibles en la web oscura por tan solo $ 30.

La simple razón por la que el cryptojacking se está volviendo más popular entre el cibercrimen es más dinero por menos riesgo. “Los ciber actores ven el cryptojacking como una alternativa más barata y rentable al ransomware”, dice Vaystikh. Con ransomware, podría conseguir que tres personas paguen por cada 100 computadoras infectadas, explica, con el cryptojacking, las 100 máquinas infectadas funcionan para que el hacker extraiga criptomonedas. “[El atacante] puede hacer lo mismo con esos tres pagos de ransomware, pero la minería de criptomonedas genera dinero continuamente”, dice.

El riesgo de ser atrapado e identificado también es mucho menor que con el ransomware. El código de criptominería se ejecuta subrepticiamente y puede pasar desapercibido durante mucho tiempo. Una vez descubierto, es muy difícil rastrear hasta la fuente, y las víctimas tienen pocos incentivos para hacerlo, ya que no robaron ni cifraron nada. Los atacantes tienden a preferir las criptomonedas anónimas como Monero y Zcash sobre el Bitcoin que es más popular, las primeras son más difíciles de rastrear. En Nekt podemos ayudarte a prevenir y contener ataques de esta naturaleza, contáctanos.

Fuente: Michael Nadeau (CSO)