La web se ha convertido en un espacio traicionero en los últimos años.
Por un lado, los sitios web gubernamentales y los sitios web corporativos han fortalecido drásticamente su seguridad para hacer frente a los crecientes casos de ataques de malware. Por otro lado, los atacantes han trasladado sus objetivos a sitios de pequeñas y medianas empresas.
Estos ataques de nueva generación son más sigilosos y más fuertes de lo que solían ser. Este malware se dirige a las víctimas de cryptojacking y puede aparecer en cualquier lugar, incluso en tiendas de software legítimas.
Los ataques de criptojacking implican el proceso de infectar sistemas operativos con códigos maliciosos que utilizan la CPU del usuario desprevenido para extraer criptomonedas.
Con un nombre que suena a algo de una novela de William Gibson , ¿qué es el cryptojacking? ¿Por qué es tan grave esta amenaza y cómo se puede evitar o mitigar? Aquí intentaré resolver todo esto.
Indice
¿Qué es el Cryptojacking?
En resumen, el cryptojacking es el uso no autorizado y subrepticio de la potencia informática de alguien para extraer criptomonedas, sin el conocimiento o consentimiento del propietario del dispositivo.
¿Alguna vez te has preguntado por qué la CPU de tu ordenador está al 100% mientras descargas un torrent o después de haber visitado «ciertos» sitios? Pues eso bien puede ser criptojacked.
Por lo general, un cryptojacker encontrará una manera de instalar malware en el ordenador o teléfono de un usuario, que luego usa la potencia de procesamiento del dispositivo y ejecuta un programa de minería o script en segundo plano, recolectando en secreto recompensas de minería de monedas virtuales.
Debido a que las criptomonedas como Bitcoin y Litecoin son seudónimas por naturaleza, lo que significa que no son completamente anónimas y pueden rastrearse en la cadena de bloques, la mayoría de los malos actores prefieren extraer monedas basadas en la privacidad como Monero, que es muy difícil de rastrear y fácil de convertir en Bitcoin.
¿Por qué supone una amenaza para la seguridad?
El «modelo de negocio» de cryptojacking es bastante diferente de otras amenazas de seguridad de criptomonedas.
A diferencia del ransomware como WannaCry que básicamente secuestra la computadora de un usuario y obliga a los propietarios a pagar una cantidad en criptografía para restaurar sus dispositivos (y a menudo esto no sucede, incluso si los usuarios pagan), un programa de criptojacking se esconde en las sombras.
Hace unas semanas, los investigadores descubrieron un nuevo programa de malware de minería Monero que se oculta del módulo Administrador de tareas de Windows.
Por el contrario, los esquemas de phishing tienen como objetivo engañar a los usuarios desprevenidos para que revelen su clave privada a través de email o por teléfono. El nuevo sistema de cifrado de amenaza de Bitcoin y Litecoin «contamina» miles de direcciones de blockchain con pequeñas cantidades de cifrado para determinar a los usuarios detrás de grandes cuentas para que puedan intentar suplantar o extorsionarlas.
Las aplicaciones de malware Cryptojacking no intentan robar activos virtuales existentes. Solo les preocupa robar los recursos de procesamiento de su ordenador para producir nuevos activos virtuales.
Cryptojacking es una forma más sutil de robar criptomonedas. Si bien el phishing y el ransomware es un juego de números en el que los usuarios deben ser engañados o amenazados para entregar sus activos virtuales, el software de criptominería solo necesita un simple clic para instalar en secreto en segundo plano y comenzar a minar, sin que el usuario lo sepa.
Es más fácil, menos arriesgado y más rentable para los delincuentes intentar infectar los ordenadores de los usuarios con malware de cifrado en lugar de ransomware como WannaCry que podría atraer mucha atención de las autoridades y expertos en seguridad porque puede detener las empresas.
¿Por qué están aumentando estos ataques?
No es posible conocer realmente la cantidad de criptomonedas extraídas a través del criptojacking, pero es evidente que se trata de una práctica habitual.
El criptojacking basado en navegador creció rápidamente al principio, pero parece estar disminuyendo, probablemente debido a la volatilidad de la criptomoneda.
A finales de 2017, el cryptojacking en el navegador aumentó un 31%. Fueron localizados 33,000 sitios web que ejecutaban scripts cryptomining. Y eran webs con mil millones de visitantes al mes.
A comienzos de 2018, las páginas web que ejecutaban Coinhive eran más de 34,000. Coinhive es el minero de JavaScript más popular que es usado también para actuaciones de criptominería legales. En julio de 2018, descubrieron que cuatro de los diez principales programas maliciosos que existen son criptomineros, incluidos los dos principales: Coinhive y Cryptoloot.
Sin embargo, un informe de 2019 muestra que la criptominería ahora representa solo el 7% de todos los ataques, frente al 23% a principios de 2018. El informe sugiere que los ciberdelincuentes se han desplazado más al ransomware, que se considera más rentable.
Para realizar cryptojackin no son necesarias habilidades técnicas especiales. Según el informe, las nuevas criptomonedas de la fiebre del oro son la nueva frontera del fraude. Pueden adquirirse kits de criptojacking por menos de 30 dólares en la dark web.
El motivo del aumento del cryptojacking entre los ciberdelincuentes es que pueden obtener más dinero con un menor riesgo.
Existe mucho menos peligro de ser identificado y localizado que con el ransomware. El código de criptominería es ejecutado de manera encubierta y puede pasar mucho tiempo hasta que sea descubierto. Aunque sea descubierto, es complicado llegar hasta la fuente. Además, las víctimas no tienen mucho interés hacerlo, ya que no les robaron ni encriptaron nada.
Orígenes
El cryptojacking se convirtió en un verdadero problema en 2018, a raíz del gran aumento de Bitcoin de finales de 2017, que atrajo a las monedas alternativas como Monero.
Otros especialistas indican que el origen del cryptojacking se produjo en septiembre de 2017, con la llegada del famoso servicio CoinHive. En 2017, los ataques de criptojacking aumentaron un 8500%.
A mediados de 2018, el cryptojacking representaba un asombroso 35% de todas las amenazas de seguridad web.
Papel de CoinHive
Muchos expertos en seguridad criptográfica señalan con el dedo acusador a un servicio de minería ahora extinto llamado CoinHive como la raíz de todo el mal del criptojacking.
CoinHive comenzó de manera bastante inocua a finales de 2017 como una herramienta de software que ayudó a los propietarios de sitios web a monetizar a sus visitantes.
Lo hicieron a través de scripts de cripto-minería que se ejecutaron en segundo plano y desviaron parte del poder de procesamiento de sus dispositivos mientras examinaban el sitio web. Muchos sitios web como UNICEF utilizaron públicamente sus servicios.
Sin embargo, hubo una protesta masiva cuando los usuarios de la web se dieron cuenta de que CoinHive explotó su poder de cómputo sin su consentimiento.
CoinHive finalmente fue presionado para que cerrara en febrero de 2019 debido a la caída de los precios de Bitcoin y Monero, las extensiones mejoradas de bloqueo de anuncios y un mejor software antivirus.
Desafortunadamente, no pasó mucho tiempo para que los piratas informáticos abrieran la caja de Pandora de conocimientos de criptojacking de CoinHive. Copian el script CoinHive y hacen algunos ajustes antes de volver a implementarlo en línea para propósitos más ilícitos.
En 2018, se encontró malware relacionado con Coinhive en los anuncios de Youtube y se le culpó del ataque masivo del enrutador MikroTik en Brasil.
Como resultado, ahora hay una gran cantidad de programas de criptominería que afectan a los consumidores de las centrales nucleares y los gobiernos.
¿Quién está detrás del cryptojacking?
Si bien el software de criptojacking puede costar tan solo 20 dólares en la dark web, la sofisticación y la habilidad involucradas con el criptojacking varían mucho.
Los informes indican que los piratas informáticos norcoreanos patrocinados por el gobierno han robado más de 2 mil millones de dólares en todo el mundo, especialmente de surcoreanos, a través de criptojacking y ransomware. Por supuesto, gran parte de este dinero se reinvierte en la guerra de Corea del Norte.
Los sindicatos del crimen y los grupos de hackers también están detrás de gran parte de los ataques. Luego usan la criptografía robada para financiar cualquier cosa, desde lavado de dinero, actividades criminales como el tráfico de personas hasta el terrorismo.
Funcionamiento del cryptojacking
Existen dos maneras principales de conseguir que el ordenador de una víctima extraiga criptomonedas sigilosamente.
Una de ellas es utilizar técnicas de phishing para engañar a las víctimas para descargar el código cryptomining en sus ordenadores. Se les envía un correo electrónico que parece lícito donde se les incita a pulsar en un enlace. Al entrar en el enlace se ejecuta un código que introduce en el ordenador el script cryptomining. Este script es ejecutado después en segundo plano mientras la víctima trabaja.
El segundo sistema es introducir un script en una página web o en un anuncio enviado a varios sitios web. Cuando los usuarios entran en el sitio web o se les muestra el anuncio infectado en sus navegadores, se ejecuta de forma automática el script. Y en los ordenadores de las víctimas no se guarda ningún código.
Con independencia del mecanismo usado, el código ejecuta problemas matemáticos complicados en los ordenadores de las víctimas y los resultados son enviados a un servidor controlado por el ciberdelincuente.
Muchas veces son usados los dos métodos para obtener un mayor beneficio.
Por ejemplo, de 100 dispositivos que extraen criptomonedas para un pirata informático, el 10 por ciento podría generar ingresos del código en las máquinas de las víctimas, mientras que el 90 por ciento lo hace a través de sus navegadores web.
Los scripts de criptojacking no producen daños en los ordenadores ni en los datos de las víctimas, cosa que sí ocurre con otros tipos de malware. Lo que hacen es robar recursos de procesamiento de la CPU. En caso de usuarios individuales, el hecho de que su ordenador vaya más lento les producirá solo una molestia.
Pero una empres con cryptojacked en muchos sistemas puede sufrir daños reales en términos de tiempo de TI que se dedica a localizar los problemas de rendimiento y para sustituir componentes o sistemas con el objetivo de solucionar el problema.
Ejemplos
Si bien el cryptojacking parece una nueva amenaza para la seguridad, ha existido por un tiempo, afectando a compañías como Tesla e incluso a los gobiernos.
Los métodos y exploits utilizados por los piratas informáticos son cada vez más sofisticados.
Aquí están algunos ejemplos:
- En Brasil, múltiples esfuerzos de criptojacking conducen a la infección de más de 200,000 enrutadores MikroTik que eventualmente se extienden a enormes cantidades de tráfico web a nivel mundial.
- MinerGate detiene sus operaciones cuando detecta movimientos del ratón, por lo que esencialmente, cuando un usuario comienza a usar su ordenador, el script se silencia para evitar ser detectado.
- Los empleados de las grandes compañías a menudo usan su poder de procesamiento significativo para extraer criptomonedas después de su horario de trabajo. Esto puede generar enormes vulnerabilidades de seguridad para la empresa.
- El software P2P, como las variantes de BitTorrent, también extrae criptomonedas mientras descarga sus últimas películas.
- Los usuarios de GitHub deben tener cuidado. Los hackers a menudo bifurcan proyectos, luego cargan una versión infectada sin el conocimiento original de los desarrolladores.
- El malware similar a CoinHive todavía deambula por Internet, incluso se propagó a través de anuncios de YouTube el año pasado.
- BadShell utiliza procesos de Windows como el Programador de tareas y el Registro para extraer criptografía en segundo plano.
- Cierto software como CoinMiner realmente busca software de criptojacking ya instalado, lo destruye y luego lo reemplaza.
¿Cómo evitar el cryptojacking?
Las medidas que podemos utilizar para fortalecer nuestros ordenadores y dispositivos y evitar el cryptojacking son las siguientes:
Formación de seguridad en la empresa
Si tienes una empresa, asegúrate de que tus empleados sean conscientes de los peligros del cryptojacking. Debe haber una formación clara que les aconseje no abrir correos electrónicos de remitentes no identificados o visitar sitios web que activen una advertencia de seguridad.
Bloqueadores de navegador anti-minería
La mayoría de los intentos de cryptojacking se realizan a través de visitas al sitio web, por lo que es importante asegurarse de que su navegador web tenga un fuerte bloqueador de crypto-mining.
Algunas extensiones del navegador como AdBlocker Plus tienen características adicionales que se pueden activar.
Chrome
Los usuarios de Chrome pueden descargar la extensión MinerBlock.
Mozilla Firefox
A principios de este año, el navegador de código abierto Mozilla lanzó una nueva versión que neutraliza específicamente los scripts de criptominería. Se llama Firefox Quantum y la función se puede activar y desactivar.
Software antivirus
Asegúrate de tener una solución antivirus completa y resistente para proteger la seguridad de todo tu ordenador.
Usa una protección de punto final con capacidad para detectar cryptojacking conocido. Se ha incluido la función de detectar criptominería por la mayoría de los proveedores de software antivirus/de protección de puntos finales. Pero es importante tener en cuenta que los cryptohackers modifican sus métodos continuamente para impedir la detección en el punto final.
Herramientas de filtrado web actualizadas
Si identifica una página web que entrega scripts de criptojacking, asegúrate de que tus usuarios tengan bloqueado el acceso nuevamente.
Conserva extensiones del navegador
Para ejecutar scripts de criptominería muchos hackers utilizan extensiones de navegador maliciosas o infectan extensiones lícitas.
Solución de administración de dispositivos móviles
Utilizando este tipo de soluciones será posible examinar mejor lo que tenemos en nuestros dispositivos. El uso de políticas de traer su propio dispositivo (BYOD) suponen un riesgo para evitar la criptominería ilícita.
Una solución de administración de dispositivos móviles puede ser de gran ayuda para gestionar extensiones y aplicaciones en los móviles de los usuarios. Estas soluciones están dirigidas a grandes empresas, las empresas más pequeñas normalmente no pueden asumir su coste. Pero el riesgo de los dispositivos móviles no es tan elevado como en el caso de ordenadores de escritorio y servidores. Al tener menos capacidad de procesamiento, los móviles no producen tantos beneficios para los hackers.
Pero ninguna de las prácticas anteriores son infalibles.
¿Cómo descubrir el cryptojacking?
Aunque pongas los máximos esfuerzos para evitarlo, el cryptojacking puede ocasionar daños a tu empresa, igual que el ransomware.
Su detección puede ser complicada, sobre todo si se comprometen únicamente unos pocos sistemas. Las herramientas de protección de puntos finales existentes no detendrán el criptojacking. Y los antivirus de escritorio no podrán verlo.
Esto es lo que funcionará:
Entrena a tu servicio de asistencia para buscar signos de criptominería
A veces, la primera indicación es un aumento en las quejas del servicio de asistencia sobre el rendimiento lento del ordenador. Eso debe ser un motivo para investigar más a fondo.
El servicio de asistencia también puede buscar otros indicios como un sobrecalentamiento en los sistemas, lo que puede ocasionar fallos en la CPU o el ventilador de enfriamiento. La CPU puede ser dañada por un calentamiento excesivo y esto también puede mermar el ciclo de vida de los dispositivos.
Implementa una solución de monitorización de red
El criptojacking es más fácil de detectar en una red corporativa que en casa porque la mayoría de las soluciones de punto final del consumidor no lo detectan. La mayoría de las empresas disponen de este tipo de herramientas de monitorización de red.
No obstante, aunque tengan esas herramientas, son pocas las empresas que dispongan de capacidades para analizar esa información y conseguir una detección precisa.
Debe tenerse en cuenta que los cryptohackers pueden escribir su malware para impedir que sea detectado por ese método. Han descubierto maneras de insertar fragmentos de código Javascript en los servidores web. Por eso es aconsejable realizar monitorizaciones regulares de cualquier modificación de archivos en el servidor web o en las propias páginas.
Estar al día en las nuevas tendencias de criptojacking
Existe una evolución continua en los códigos de cryptojacking y en los sistemas de entrega. Entender los comportamientos y el software puede ser de gran ayuda para detectar el criptojacking.
¿Qué hacer ante un ataque de cryptojacking?
En caso de ser víctima de un ataque de cryptojacking, estas son las medidas que debes adoptar para limitar sus consecuencias.
Elimina y bloquea los scripts entregados por el sitio web
Una sencilla solución al descubrir ataques de JavaScript en el navegador mediante cryptojacking es suprimir la pestaña del navegador que ejecuta el script.
Tienes que localizar la fuente del script (la URL de la página web) y bloquearla mediante la actualización de los filtros web de la empresa. Es aconsejable que instales herramientas anti-criptominería para evitar futuros ataques.
Actualiza y depura las extensiones del navegador
Cuando el navegador es infectado por una extensión, no servirá de nada cerrar la pestaña. Debes eliminar aquellas extensiones que no necesites o que estén infectadas y actualizar todas las demás.
Aprende y adapta
Utiliza la experiencia para comprender mejor cómo el atacante pudo comprometer tus sistemas. Debes actualizar tu servicio de asistencia y capacitación de TI para conseguir una mejor detección de ataques de criptojacking y dar una adecuada respuesta a los mismos.