¿Qué es el cryptojacking?

Definición de cryptojacking

El cryptojacking es el uso no autorizado de los recursos informáticos de una persona u organización para minar criptomoneda.

Los programas de cryptojacking pueden ser malware instalado en el ordenador de una víctima mediante phishing, sitios web infectados u otros métodos habituales de los ataques de malware o pueden ser pequeños fragmentos de código insertados en anuncios digitales o páginas web que solo funcionan mientras la víctima visita un sitio web determinado.

¿Qué es la criptomoneda?

La criptomoneda es una forma de divisa que existe únicamente online, sin ningún tipo de propiedad física. Se ha hecho popular en los últimos años debido a su anonimato y seguridad. El Bitcoin fue la primera criptomoneda creada en 2009, y la primera ocasión en la que se utilizó la tecnología de blockchain.

¿Cómo funciona la minería de criptomoneda?

En una transacción financiera tradicional sin efectivo, un comerciante envía la transacción a un banco comercial, que la envía a un procesador de pagos y, este, la envía a un banco emisor. Durante el proceso, las diferentes partes comprueban la transacción con sus registros para asegurarse de que cumple con sus criterios (si hay dinero suficiente en la cuenta, si la transacción está dentro del límite de crédito del titular de la tarjeta, si hay tarifas por la transacción, etc.) y, después, la transacción se aprueba o se deniega.

Pero las blockchains no cuentan con ningún libro de contabilidad centralizado, se trata de libros de contabilidad distribuidos que existen en las redes entre pares, por lo que no hay autoridades centralizadas que aprueben o denieguen una transacción. En lugar de eso, cada transacción se cifra y se añade a una lista de transacciones en espera de ser adjuntadas a una blockchain (cadena de bloques). Cada uno de estos conjuntos o listas es un "bloque" que tiene que "encadenarse" a los bloques existentes. La actividad de añadir bloques a la blockchain se denomina "minería".

Los nuevos bloques tienen que verificarse, y ahí es donde entra la criptominería: para evitar que las personas puedan aprovecharse del sistema o que los hackers realicen ataques de denegación de servicio (DoS), tiene que haber una barrera que dificulte un poco la tarea de añadir un bloque a la blockchain. Este obstáculo se presenta en forma de rompecabezas matemáticos arbitrarios que deben resolverse antes de que el bloque se pueda validar y añadir a la blockchain. El primer minero de criptomonedas que resuelva uno de estos rompecabezas recibe una criptomoneda como recompensa.

¿Cómo funciona el cryptojacking?

Algunos tipos de criptomonedas son más fáciles de minar que otros, y estos son los favoritos de los hackers. Monero, por ejemplo, se puede minar en cualquier ordenador de escritorio, portátil o servidor, mientras que minar Bitcoin requiere un hardware especializado muy caro. Las operaciones de minería también se pueden realizar en un dispositivo móvil, un dispositivo de IoT y un router.

Los criptomineros pueden combinar su malware de cryptojacking con otros tipos de malware, como el ransomware. Cuando un usuario hace clic en un enlace malicioso o abre un archivo adjunto infectado, se descargan dos programas: un programa de cryptojacking y uno de ransomware. El ciberdelincuente evalúa el sistema atacado en función de su configuración de software, de hardware y de sus defensas antimalware, y después decide si lo más lucrativo sería un ataque de ransomware o uno de cryptojacking.

O puede que estos ciberdelincuentes no instalen ningún programa. Un pequeño fragmento de código de criptominería se puede introducir en un sitio web, complemento de WordPress o anuncio, y ejecutarse de manera automática en el navegador de los visitantes.

En otro tipo de ataque de cryptojacking, que tiene lugar en la nube, los ciberdelincuentes primero roban las credenciales y luego instalan sus scripts en el entorno de la nube.

Ejemplos de cryptojacking

Coinhive

Coinhive ya no está en funcionamiento, pero es digno de estudio dado que desempeñó un papel fundamental en el aumento de la amenaza del cryptojacking. Coinhive se distribuía desde un navegador web y cargaba un archivo de Javascript en las páginas del usuario. Este era el script que se usaba para el cryptojacking hasta que quienes lo utilizaban acabaron con él debido a una caída en la tasa de hash que ocurrió tras una bifurcación de Monero, junto con una caída del mercado de la criptomoneda que hizo que el cryptojacking ya no fuera lucrativo.

WannaMine v4.0

WannaMine v4.0 y sus predecesores usan el exploit EternalBlue para comprometer a sus hosts. Almacena los binarios del exploit EternalBlue en un directorio de C:\Windows que se llama "Distribución de Red". Esta variante de WannaMine genera, de la nada, un .dll y un nombre de servicio basándose en una lista de cadenas codificadas. Así es como se mantiene persistente en el host.

BadShell

BadShell es un malware sin archivos que no requiere una descarga. Utiliza procesos nativos de Windows, como PowerShell, el Programador de tareas y el registro, lo que lo hace particularmente difícil de detectar.

Facexworm

Facexworm utiliza ingeniería social para atraer a los usuarios de Facebook Messenger y que hagan clic en un enlace de YouTube falso. El sitio falso indica al usuario que se descargue una extensión de Chrome para visualizar el contenido, pero lo que hace realmente esa extensión es secuestrar las cuentas de Facebook de la víctima para propagar el enlace a todas las redes de sus amigos. FaceXWorm hace más aparte de secuestrar los sistemas del usuario para minar criptomoneda: también intercepta las credenciales cuando los usuarios tratan de iniciar sesión en determinados sitios, como Google y MyMonero, redirige a los usuarios que intentan ir a plataformas legítimas de intercambio de criptomonedas a plataformas falsas que solicitan una pequeña cantidad de criptomoneda como parte del proceso de verificación de la identidad y redirigen a los usuarios a otros sitios maliciosos.

Black-T

Black-T ataca a los clientes de AWS utilizando las API expuestas del daemon Docker. El malware también puede utilizar herramientas de análisis para identificar otras API expuestas del daemon Docker a fin de propagar aún más sus operaciones de cryptojacking.

Las consecuencias del cryptojacking

Las consecuencias de un ataque de cryptojacking para una persona que utilice el portátil doméstico para su uso personal son un ordenador lento y una factura de electricidad más alta, pero la criptominería a escala, que ataca a una empresa, puede provocar grandes daños. Un rendimiento menor mina la productividad del negocio, el sistema puede caerse y el tiempo de inactividad afecta a las ventas y la reputación. Además, los servidores de alto rendimiento pasan a ser servidores caros con un rendimiento deficiente. Por supuesto, los costes operativos se disparan, ya que los recursos corporativos se alejan de sus usos previstos para servir a las necesidades de los criptomineros.

Asimismo, la presencia de software de criptominería en la red es un indicador de que hay un problema de ciberseguridad más serio en curso: si un hacker logra que el software de cryptojacking evite las defensas de la empresa, también puede introducir otro tipo de código malicioso en el entorno.

Protección contra el cryptojacking

Retos

Los equipos de seguridad que tienen recursos y visibilidad limitados presentan problemas a la hora de enfrentarse al cryptojacking por los siguientes motivos:

• Deben identificar un evento y comprender el vector de ataque. El aumento del uso de herramientas legítimas y ataques sin archivos dificulta esta tarea.
• Necesitan detener una brecha activa y corregir los sistemas con rapidez. Cuando tiene lugar un incidente, los equipos de seguridad deben detenerlo y, después, corregir los sistemas lo antes posible. Esto suele implicar una investigación manual y el formateo de equipos, que son tareas que consumen muchos recursos.
• Tienen que aprender de un ataque y eliminar las lagunas de seguridad. Después del incidente, los equipos de seguridad deben aprender qué y cómo pasó, y asegurarse de que no ocurre de nuevo.

Consejos

El cryptojacking es una amenaza para la productividad y la seguridad de una organización. Para abordar este riesgo, las empresas deben:

• Implementar buenas prácticas higiénicas de seguridad. La higiene digital es fundamental para la seguridad. La aplicación de parches con regularidad a aplicaciones y sistemas operativos vulnerables y la protección de las cuentas de usuarios con privilegios son prácticas cruciales para una posición de seguridad óptima.
• Formar a los empleados. Anima a tu plantilla a realizar una formación exhaustiva que abarque puntos como la importancia de mantener a salvo la información confidencial, las prácticas recomendadas para evitar el cryptojacking y una comprensión rigurosa de los modos diferentes en los que pueden darse los ciberataques.
• Implementar una plataforma de protección para endpoints (EPP) de nueva generación. Las organizaciones deben prepararse para prevenir y detectar todas las amenazas, incluido el malware conocido y desconocido, así como para identificar ataques en memoria. Esto requiere una solución que incluya antivirus de nueva generación, así como detección y respuesta para endpoints (EDR) para prevenir ataques y obtener una visibilidad completa de todo el entorno.

Según Gartner, la defensa eficaz contra las amenazas a los endpoints implica implementar una solución que tenga capacidades de NGAV y EDR. La plataforma CrowdStrike Falcon® es una solución de EPP de nueva generación que está diseñada para detectar indicadores de ataque (IOA) basados en comportamientos sigilosos, independientemente de si el malware se escribe a sí mismo en el disco o si solo se ejecuta en la memoria.