El apocalipsis del cryptojacking: cómo derrotar a los cuatro jinetes de la criptominería

A pesar de las fluctuaciones de los precios del bitcóin y otras criptomonedas, el cryptojacking sigue siendo una amenaza grave, y a menudo oculta, para los negocios, las pymes y los consumidores ordinarios.

Y la más encubierta de todas estas amenazas es la criptominería a través del buscador, donde algunas formas populares de malware intentan convertir su dispositivo en un bot de minería de criptomonedas a tiempo completo, lo que se denomina un cryptojacker.

Para ayudarlo a comprender esta tendencia de manera creativa, permítame recurrir a mi enseñanza clásica y ser un poco hiperbólico. Si usted considera que la ola del cryptojacking es una especie de apocalipsis, como muchas de sus víctimas lo hacen, los cuatro jinetes serían las cuatro amenazas para su endpoint o negocio.

  • El caballo blanco: la energía que consume o desperdicia.
  • El caballo rojo: la pérdida de productividad debido a la limitación de los recursos.
  • El caballo negro: el daño que puede provocarle al sistema.
  • El caballo bayo: las repercusiones en la seguridad a causa de las vulnerabilidades que se generan.

A diferencia del ransomware, que desea que lo encuentren (para demandar el pago), el trabajo de un cryptojacker es trabajar oculto en el fondo (si bien el gráfico de rendimiento de su CPU o el ventilador del dispositivo pueden indicar que algo se encuentra fuera de lo normal).

Los autores de ransomware cambiaron de estrategia en los últimos dos años y usan más el cryptojacking, ya que la efectividad y el rendimiento de la inversión (Return on Investment, ROI) de un tipo de ransomware disminuyen apenas aparece en fuentes públicas como VirusTotal.

Como cualquier persona que dirige un negocio altamente rentable, los ciberdelincuentes necesitan encontrar constantemente nuevas formas de alcanzar sus objetivos económicos. El cryptojacking se utiliza para resolver ese desafío.

En abril de 2018, SonicWall comenzó a hacer un seguimiento de las tendencias del cryptojacking, específicamente del uso de Coinhive en malware. En el transcurso del año, analizamos su flujo y reflujo. En ese momento, SonicWall registró cerca de 60 millones de ataques de cryptojacking, con un pico de 13,1 millones en septiembre de 2018. Según lo publicado en el Informe de ciberamenazas 2019 de SonicWall, el volumen disminuyó en el último trimestre de 2018.

Ataques mundiales de cryptojacking | Desde abril hasta septiembre de 2018

El encanto de la criptominería

Las operaciones de criptominería se han vuelto cada vez más populares y ahora consumen casi el 0,5 % del consumo de electricidad mundial. A pesar de las marcadas fluctuaciones de los precios, aproximadamente el 60 % del costo de la minería legal de bitcoines es el consumo de energía. De hecho, al momento de la redacción, el precio de un bitcóin es menor que el costo de minarlo de manera legal.

Con dichos costos y riesgos nulos en comparación con la compra y el mantenimiento de los equipos, los ciberdelincuentes tienen grandes incentivos para generar criptomonedas con los recursos de otros. Infectar 10 máquinas con un criptominero podría generar una ganancia de hasta $100/por día; por ende, el desafío de los cryptojackers es triple:

  1. Encontrar objetivos, principalmente organizaciones con muchos dispositivos en la misma red, en especial las escuelas o las universidades.
  2. Infectar la mayor cantidad posible de equipos.
  3. Mantenerse ocultos el mayor tiempo posible (a diferencia del ransomware y de manera similar al malware tradicional).

Los cryptojackers utilizan técnicas similares al malware para escabullirse en un endpoint: descargas ocultas, campañas de phishing, vulnerabilidades en el buscador y complementos del buscador, entre otros. Y, como es de esperarse, se enfocan en el punto más débil, las personas, mediante técnicas de ingeniería social.

¿Estoy infectado por criptomineros?

Los criptomineros están interesados en su poder de procesamiento y los cryptojackers tienen que sacrificar la sutileza para obtener más ganancias. La cantidad de recursos que tomen de su CPU depende de sus objetivos.

Absorber menos energía hace que sea más difícil que los usuarios desprevenidos lo noten. Robar más aumenta sus ganancias. En cualquiera de los casos, el rendimiento se verá afectado, pero si el umbral es lo suficientemente bajo, podría ser difícil distinguir al minero del software legítimo.

Los administradores de las empresas pueden buscar procesos desconocidos en sus entornos y los usuarios finales en Windows deben abrir Sysinternals Process Explorer para ver lo que están ejecutando. Los usuarios de Linux y macOS deben investigar mediante el uso de System Monitor y Activity Monitor, respectivamente, por el mismo motivo.

Cómo defenderse de los criptomineros

El primer paso para defenderse de los criptomineros es detener este tipo de malware en la puerta de acceso, ya sea a través de los firewalls o la seguridad del correo electrónico (seguridad perimetral), la cual es una de las mejores formas de eliminar amenazas conocidas basadas en archivos.

Dado que a las personas les gusta volver a utilizar códigos viejos, atrapar a los cryptojackers como Coinhive también fue un primer paso sencillo. Sin embargo, en febrero de 2019, Coinhive anunció públicamente el fin de sus actividades el 8 de marzo. El servicio comunicó que “ya no era económicamente viable” y que el “desplome” afectaba al negocio de manera considerable.

A pesar de estas noticias, SonicWall prevé que todavía habrá un aumento en nuevas variantes y técnicas de cryptojacking para llenar el vacío. El cryptojacking aún podría convertirse en un método de preferencia para agentes malintencionados gracias a su disimulo; los daños menores e indirectos a las víctimas reducen las posibilidades de exposición y extienden la valiosa vida útil de un ataque exitoso.

Si el tipo de malware es desconocido (nuevo o actualizado), entonces traspasará los filtros estáticos en el perímetro de seguridad. Si un archivo es desconocido, será redirigido a un sandbox para inspeccionar su naturaleza.

El sandbox multimotor Capture Advanced Threat Protection (ATP) de SonicWall está diseñado para identificar y detener el malware escurridizo que pueda evadir un motor pero no al resto.

Si tiene un endpoint que no se encuentra detrás de esta configuración habitual (p. ej., tiene itinerancia en un aeropuerto o un hotel), necesita desplegar un producto de seguridad de endpoints que incluya detección de comportamientos.

Los criptomineros pueden operar en el buscador o enviarse a través de un ataque sin archivos, por lo que las soluciones heredadas que obtiene de forma gratuita con una computadora no logran detectarlos.

Un antivirus que se basa en el comportamiento como SonicWall Capture Client detectaría que el sistema quiere minar monedas y luego desactivaría la operación. Un administrador puede poner al malware en cuarentena fácilmente y eliminarlo o, en caso de que dañe los archivos del sistema, revertir el sistema al último estado sano antes de que se ejecute el malware.

Mediante la combinación de defensas perimetrales y análisis de comportamientos, las organizaciones pueden luchar contra las formas más novedosas de malware sin importar cuáles sean las tendencias o las intenciones.

Brook Chelmo on Twitter
Brook Chelmo
Sr Product Marketing Manager | SonicWall
Brook handles all product marketing responsibilities for SonicWall security services and serves as SonicWall’s ransomware tsar. Fascinated in the growth of consumer internet, Brook dabbled in grey-hat hacking in the mid to late 90’s while also working and volunteering in many non-profit organizations. After spending the better part of a decade adventuring and supporting organizations around the globe, he ventured into the evolving world of storage and security. He serves humanity by teaching security best practices, promoting and developing technology.
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario