Diccionario de Criptomonedas

¿Qué es Cryptojacking? Como detectarlo, prevenirlo y recuperarse

Que es el cryptojacking

El cryptojacking es cuando alguien utiliza sin autorización nuestro ordenador para minar criptomonedas. Los atacantes logran esto al conseguir que las víctimas hagan clic en un enlace malicioso dentro de un email que permite ejecutar el código en el ordenador. La otra alternativa es infectar un sitio web con anuncios que ejecutan un código JavaScript en el navegador de la víctima.

Da igual cual es el método utilizado, el final es el mismo, un código de minería de criptomoneda se ejecuta en segundo plano sin que la persona lo detecte. Solo existen unos pocos síntomas que nos dice que podríamos estar infectados, como una baja en el rendimiento o retraso en la ejecución de programas.

¿Por que ha habido un aumento del cryptojacking?

Es muy difícil saber cuántas monedas se han minado gracias a esta técnica, pero sí podemos notar un aumento en su uso. Los cryptojacking basados en navegadores son los que más lo han experimentado.

En noviembre del año pasado, Adguard reportó un crecimiento del 31 por ciento para este tipo software malicioso. El estudio encontró que 33.000 sitios web estaban infectados. La estimación que ha hecho la compañía es que las visitas combinadas de todos ellos equivale a mil millones de usuarios mensuales.

Un estudio más reciente de febrero de este año, realizado por Bad Packets, encontró que había 34.474 páginas web corriendo Coinhive, el software de JavaScript más popular para la minería legitima de forma online.

En julio, Check Point Software Technologies reportó que cuatro de los diez malwares encontrados eran mineros de criptomonedas, incluyendo a los primeros dos: Coinhive y Cryptoloot.

“La minería de criptomonedas esta en su infancia. Existe mucho espacio para su crecimiento y evolución”, dijo Marc Laliberte, analista de amenazas en el proveedor de soluciones de seguridad de red WatchGuard Technologies. Además dijo que Coinhive es sencillo de implementar y ha generado $300.000 el primer mes.

En enero, los investigadores descubrieron un botnet de minería de criptomonedas llamado Snominru, que infectó más de medio millón de ordenadores, principalmente en Rusia, India y Taiwan. La botnet se concentró en los servidores con Windows para infectar y minar Monero, consiguiendo, según estimaciones, unas ganancias de $3,6 millones en ese mismo mes.

Esta técnica maliciosa no requiere ni siquiera tener grandes habilidades técnicas. Según los expertos, la nueva fiebre del oro en criptomonedas es una nueva frontera para los fraudes. A los jóvenes solo le basta acceder a la dark web para acceder a kit de criptojacking por solo $30.

El gran porqué de la popularidad se debe a que existe una mayor recompensa por un riesgo menor. Al menos eso considera Alex Vaystickh, CTO y cofundador de SecBI, que dijo:

Los piratas informáticos ven el cryptojacking como una alternativa más barata y rentable al ransomware.

Con los ransomware los atacantes pueden conseguir que 3 de cada 100 personas infectadas paguen. Mientras que con el mismo número de infectados con un software malicioso de minería consigues que todos los ordenadores trabajen para ti minando criptomonedas. Finalmente agrego:

[El pirata informático] podría ganar lo mismo que esos tres pagos de ransomware, pero la minería cripto genera dinero continuamente.

El riesgo de ser atrapado e identificado además es menor que el que encuentra un malhechor con el ransomware. El software necesario para la minería de criptos trabaja en segundo plano, y puede permanecer indetectable por un largo periodo de tiempo.

Una vez descubierto es muy difícil determinar quien se encuentra detrás de él. Por otro lado, las víctimas tienen poca motivación por hacerlo, debido a que nada ha sido robado o encriptado. Sumado a que los atacantes suelen utilizar monedas privadas como Monero y Zcash en lugar de otras opciones populares como Bitcoin, ya que es más difícil rastrear una actividad ilegal.

¿Cómo funciona el Cryptojacking?

Los atacantes tienen dos formas principales de infectar el ordenador de sus víctimas secretamente para minar criptomonedas. Una de ellas es engañar a la persona para que corra un código en su propio ordenador. Esto puede ser realizado mediante técnicas de phishing, en donde la víctima recibe un mail que parece legítimo y se le anima a hacer clic en un enlace. Este hace posible que se ejecute el código en el ordenador, permaneciendo abierto en segundo plano y trabajando mientras la víctima no lo percibe.

El segundo método consiste en inyectar un script en una página web o mediante un anuncio que se muestra en múltiples sitios. Una vez que la persona visita la página, o abre el popup infectado, el script se ejecuta a través del navegador. En este segundo caso no se almacena ningún código en el ordenador de la persona, sino que mientras continúe viendo el anuncio o visitando el sitio la victima prestara los recursos de la máquina para la tarea.

No es extraño que los atacantes utilicen ambos sistemas para conseguir los mayores resultados. Vaystinkh dijo que “los ataques utilizan viejos trucos de malware para entregar software más confiable y persistente [a los ordenadores de las víctimas].

Por ejemplo, de 100 dispositivos que se encuentran minando criptomonedas para el atacante el 10 por ciento podría generar ingresos a partir del código corriendo en los ordenadores de las víctimas, mientras que el 90 por ciento lo hace a través del navegador.

A diferencia de otros tipos de malwares, el de cryptojacking no daña el ordenador de la víctima ni tampoco afecta la información de este. Lo que sí secuestra es el CPU, que es utilizado para el trabajo.

Cuando se trata de un ordenador para uso personal, el consumo elevado de su CPU solo trae aparejado una merma en el rendimiento del mismo que es molesto. Pero cuando se trata de organizaciones la cosa cambia rotundamente, aquí hablamos de grandes costosos en términos de descubrir cuales son los motivos para un rendimiento reducido.

Ejemplos del mundo real

Las personas son realmente muy astutas en este sector, y por tanto han ideado interesantes maneras de conseguir que los ordenadores de otras personas minen por ellas. Algunas no son del todo nuevas, ya que este tipo de malwares hereda los métodos que ya conocíamos para otra modalidad de estos, como lo son los ransomwares o adwares.

Travis Farral, director de estrategia de seguridad en Anomali dijo:

Estás empezando a ver muchas de las cosas tradicionales que los autores maliciosos han hecho en el pasado. En lugar de entregar ransomware o un troyano, están revisando eso para entregar módulos o componentes de minería de criptomonedas.

Veamos algunos ejemplos:

BadShell usa los procesos de Windows para hacer su trabajo sucio

Hace algunos meses atrás Comodo Cybersecurity encontró un malware en un sistema de un cliente que utilizaba procesos de Windows para minar criptomonedas. El apodado BadShell utilizaba:

  • La PowerShell para ejecutar comandos. Un script de PowerShell inyectaba el código del malware en un proceso existente.
  • El programador de tareas para asegurar la persistencia.
  • El registro para guardar el código binario.

Empleado malintencionado utilizando los recursos de la empresa

Durante la conferencia EmTech Digital de este año, Darktrace contó la historia de uno de sus clientes, un banco europeo. Este experimentaba un patrón inusual de tráfico en los servidores. Durante la noche los procesos operaban de forma lenta, y las herramientas del banco para detectar posibles anomalías no encontraban nada interesante.

Darktrace acabó descubriendo que nuevos servidores se conectaban durante esa franja horaria, los cuales el propio banco dijo que no existían. Finalmente, fue necesario una inspección física del centro de datos, que arrojó que un empleado poco honesto había instalado un servidor de minería debajo del piso.

Ofreciendo cryptojacking mediante GitHub

En marzo la empresa Avast Software reportó que la plataforma GitHub estaba siendo utilizada para infectar con estos malwares. Para eso se utilizaban proyectos legítimos de los cuales se creaba un fork. En ellos se ocultaba el código, dentro de la estructura de directorios del nuevo proyecto.

Para completar su cometido utilizaban phishing en donde atraían a las personas a descargar el malware. Un ejemplo de esto era a través de notificaciones de que era necesario actualizar nuestro reproductor flash o la promesa de un videojuego con contenido para adultos.

Utilizando vulnerabilidades de rTorrent

Los cryptojackers, como se llama a estas personas, descubrieron que una incorrecta configuración del popular cliente de torrents, rTorrent, permite el acceso sin autenticación mediante comunicación XML-RPC. Sabiendo esto solo necesitaban escanear la red para encontrar clientes y luego infectarlos con códigos de minería de Monero.

La vulnerabilidad fue descubierta por F5 Network en el mes de Febrero, y han venido advirtiendo desde entonces que los usuarios del cliente se aseguren de no aceptar conexiones externas.

Extensión maliciosa de Chrome

Este malware fue descubierto en un principio por Kaspersky Labs en 2017. Se trata de una extensión para el popular navegador Chrome, que utiliza Facebook Messenger para infectar los ordenadores de los usuarios.

A principio de 2018, Trend Micro encontró una variedad de Facexworm que se centraba en exchanges de criptomonedas y era capaz de infectar con código de minería. No sólo sigue siendo capaz de utilizar las cuentas de Facebook infectadas para entregar enlaces maliciosos, sino también puede robar cuentas web y credenciales, lo que permite inyectar código en esas páginas.

WinstarNssmMiner

En mayo, 360 Total Security identificó un minero de criptomonedas que se expandía rápidamente y probaba ser muy efectivo para los cryptojackers. Llamado WinstarNssmMiner, este malware tiene un sorpresa escondida para aquellos que intenten removerlo, crashea el ordenador de la víctima.

Para eso el malware utiliza una técnica muy interesante que consisten en primero lanzar un proceso svchost.exe al cual inyecta código en él y lo configura con el atributo de proceso crítico. Debido a que el sistema operativo lo considera crítico, si se intenta remover el SO crashea.

Buscando a su competidores para destruirlos

Es tan competitivo esta “profesión” que algunos atacantes desarrollan sus malware con la funcionalidad para detectar y eliminar los mineros de la competencia en los sistemas que afectan. CoinMiner es un ejemplo de esto.

Según Comodo, CoinMiner busca la presencia de procesos en los sistemas Windows. Dentro del malware existen dos listas, $malwares y $malwares2, que contienen los nombres de los procesos que son conocidos por ser mineros. Si los encuentros los elimina.

¿Cómo prevenirlo?

Existen una serie de pasos que pueden ayudarnos a prevenir los ataques tanto en nuestro ordenador personal como en una organización.

Entrenar al personal acerca de esta modalidad

Dentro de los entrenamientos sobre seguridad que se imparten en las organizaciones es importante incorporar las amenazas de cryptojacking, haciendo hincapié en los tipos de phishing que existen. El entrenamiento ayuda a proteger cuando las soluciones técnicas fallan. Esta es una de las modalidades que los expertos consideran que se seguirán usando.

Aunque esto no ayudará cuando se trata de los códigos que se auto ejecutan cuando visitamos sitios webs infectados. Es imposible entrenar a las persona sobre qué sitios se encuentran infectados en este momento.

Instalar bloqueadores de publicidad y extensiones anti mineras en nuestro navegador

Muchos de los scripts de minería no deseados son entregados a nosotros a través de la publicidad que consumimos en los sitios webs. Una forma eficiente de acabar con ellos es instalar un bloqueador de anuncios y de códigos de minería.

Algunos bloqueadores, como Ad Blocker Plus, tienen la capacidad de detectar algunos scripts de minería. Pero también existen extensiones como No Coin y MinerBlock, que están especialmente diseñados para esta tarea.

No estoy muy a favor de instalar los bloqueadores de publicidad por el simple hecho de que son la forma con que las paginas que tanto nos gustan se financian para seguir entregando contenido. Sin embargo, si estamos pensando visitar sitios de dudosa reputación lo mejor es activarlos. De todas formas el problema solo persisten mientras la visitemos, y no son invasivos como los que se instalan en nuestra máquina.

Utilizar protección de punto final que sea capaz de detectar los mineros de criptomonedas

Muchos protectores de punto final/antivirus han agregado la capacidad para detectar este tipo de malwares. Mientras estos códigos sean conocidos, lo más seguro es que el antivirus lo reconozca, por tanto es una buena idea tener uno de esto activos.

Por desgracia los desarrolladores de los malwares también están en constante trabajo por realizar cambios que le permitan hacer su código indetectable.

Herramientas de filtrado de webs actualizadas

Si hemos descubierta una página que se encuentra infectada o provee de códigos maliciosos, es necesario asegurarse de que las herramientas de protección filtren estos sitios para que los usuarios no los visiten.

Cuidado con las extensiones del navegador

Algunos atacantes utilizan extensiones de navegadores falsas o legítimas adulteradas para ejecutar software de minería.

Ninguna de estas buenas prácticas son soluciones definitivas. Por lo tanto, es necesario estar actualizado sobre todo los nuevos desarrollos en este campo. Si tenemos una empresa que utiliza servidores lo mejor es siempre contratar servicios especializados. Eso es mejor que acabar teniendo pérdidas por el uso indebido de los recursos de esta.

¿Cómo detectarlo?

Ya vimos que a pesar de hacer nuestro mejor esfuerzo siempre podemos ser víctimas de esta nueva modalidad. La detección es bastante difícil, en especial si son pocos los sistemas afectados. No debes confiar únicamente en tu protección de punto final para acabar con el. Se sabe que los códigos de minería pueden ocultarse de este tipo de herramientas, pero si hay algunas medidas que funcionan:

Entrenar a las personas y entrenarnos para buscar señales de cryptojacking

El primer indicador que nos alerta acerca de la presencia de estos códigos maliciosos es la disminución del rendimiento del ordenador. Si notamos eso en nuestra estación de trabajo o se incrementa las quejas relacionadas en la mesa de ayuda entonces estamos ante una señal.

Otro indicador es el aumento del calentamiento del sistema, que puede derivar en que el CPU o los ventiladores fallen. Un aumento en el uso de los recursos de los equipos puede reducir la vida de estos o producir daños, en especial si se trata de dispositivos móviles como teléfonos o tablets.

Instalar una monitor de red

Los expertos nos dicen que el cryptojacking es más fácil de detectar en las redes de las empresas que en las hogareñas debido a que las soluciones de antivirus comerciales por lo general no son buenas en ello. Si tenemos instalada una solución de monitoreo de red es fácil hacerlo, y la gran mayoría de las empresas serias lo hacen.

Lo difícil radica en que pocas de estas empresas tienen las herramientas y la capacidad para analizar la información y descubrir el cryptojacking. SecBI, por ejemplo, ha desarrollado una solución de inteligencia artificial que analiza la información de la red y detecta esta anomalía específica junto con otras.

De todas formas, monitorear la red es una de las mejores herramientas que podemos encontrar para esta tarea. En especial si se trata de una que monitorea todo el tráfico web, teniendo mayores chances de detectar al minero cripto. Algunas soluciones hasta permiten revisar la actividad individual de cada usuario para identificar qué dispositivos están afectados.

Sin embargo, aun así es probable que los desarrolladores de estos códigos puedan escribir un malware que evite la detecciones. Siempre es un juego de ver quien esta más actualizado.

Monitorear tu propio sitio

Existe la posibilidad de que los cryptojackers inyecten en un sitio web un código JavaScript. Al servidor esto mucho no le afecta, ya que no es el objetivo en sí, sino los visitantes. Lo recomendable es monitorear de forma regular los cambios en los archivos ,así como los cambios en las páginas mismas.

Mantenerse actualizado

La industria de las criptomonedas es una muy nueva, y como tal se encuentra en constante evolución. Lo mismo ocurre con los mineros maliciosos de criptomonedas. Entender cómo funcionan y se comporta este tipo de software nos ayuda a detectarlos mejor.

Si sabemos cómo podemos acabar infectados sabremos cómo protegernos mejor. Esto es mucho mejor que simplemente instalar software que nos ayude en la tarea. Son importantes por el simple hecho de que siempre es una capa extra de protección, pero no podemos confiarles todo el trabajo.

¿Cómo enfrentarlo?

Cerrar y bloquear sitios que entregan los scripts

Para los ataques provenientes de paginas que navegamos la solución es bastante sencilla una vez que detectamos la minería. Solo será necesario que cerremos la pestaña del navegador donde corre el script. Una vez hecho esto necesitamos bloquear la web utilizando algún tipo de filtro para que nadie más la visite.

Actualizar y eliminar extensiones del navegador

Si hay una extensiones infectado en el navegador con solo cerrar la pestaña no nos libraremos de ella. Para esto se necesita actualizar las extensiones o eliminar aquellas que no necesitemos o estén infectadas.

Conclusión

Hay que utilizar la experiencia para entender mejor cómo el atacante fue capaz de vulnerar nuestros sistemas. Hay que actualizar los usuarios, la mesa de ayuda y el departamento de tecnología de nuestro organización, de esta forma serán más capaces de identificar los intentos de cryptojacking y responder de forma correcta.

Etiquetas

Acerca del autor

Hardwareate

Me llamo Martin, soy ingeniero y apasionado de las inversiones y la tecnología. Me gusta mucho leer libros y todo aquello que me haga mejorar día a día.

Agrega un Comentario

Haz clic aquí para añadir un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Suscribete

Precio de Criptomonedas