El apocalipsis del cryptojacking: cómo derrotar a los cuatro jinetes de la criptominería

Ago 26, 2019 - by administrador

 

A pesar de las fluctuaciones de los precios del bitcoin y de otras criptomonedas, el cryptojacking sigue siendo una amenaza grave y, a menudo, oculta para los negocios, las pymes y los consumidores ordinarios.

La más encubierta de todas estas amenazas es la criptominería, donde algunas formas populares de malware intentan convertir su dispositivo en un bot de minería de criptomonedas, lo que se denomina un cryptojacker.

Para comprender esta tendencia recurriremos a la siguiente comparación: Si se considera que la ola del cryptojacking es una especie de apocalipsis, como muchas de sus víctimas lo hacen, los cuatro jinetes serían las cuatro amenazas para los endpoint o negocios.

 

·                     El caballo blanco: la energía que consume o desperdicia.

·                     El caballo rojo: la pérdida de productividad debido a la limitación de los recursos.

·                     El caballo negro: el daño que puede provocarle al sistema.

·                     El caballo bayo: las repercusiones en la seguridad a causa de las vulnerabilidades que se generan.

A diferencia del ransomware, que desea que lo encuentren, por ejemplo, para cobrar por el secuestro de información, el trabajo de un cryptojacker es hacerlo de manera oculta en el fondo, aunque el usuario empieza a notar que el rendimiento de su CPU o del ventilador del dispositivo están más lentos de lo normal.

Los autores de ransomware cambiaron de estrategia en los últimos dos años y usan más el cryptojacking, ya que la efectividad y el rendimiento de la inversión (ROI) de un tipo de ransomware disminuyen apenas aparece en fuentes públicas como VirusTotal.

En abril de 2018, SonicWall comenzó a hacer un seguimiento de las tendencias del cryptojacking, específicamente del uso de Coinhive en malware. En el transcurso del año, analizamos su flujo y reflujo. En ese momento, SonicWall registró cerca de 60 millones de ataques de cryptojacking, con un pico de 13,1 millones en septiembre de 2018. Según lo publicado en el Informe de ciberamenazas 2019 de la compañía, el volumen disminuyó en el último trimestre de 2018.

El encanto de la criptominería

Las operaciones de criptominería se han vuelto cada vez más populares y ahora consumen casi el 0,5 % de la electricidad mundial. A pesar de las marcadas fluctuaciones de los precios, aproximadamente el 60 % del costo de la minería legal de bitcoins es el consumo de energía. De hecho, al momento de la redacción, el precio de un bitcoin es menor que el costo de minarlo de manera legal.

Con dichos costos y riesgos nulos en comparación con la compra y el mantenimiento de los equipos, los ciberdelincuentes tienen grandes incentivos para generar criptomonedas con los recursos de otros.

 

Infectar 10 máquinas con un criptominero podría generar una ganancia de hasta U$100/por día; por ende, el desafío de los cryptojackers es triple:

1.               Encontrar objetivos, principalmente organizaciones con muchos dispositivos en la misma red, en especial las escuelas o las universidades.

2.               Infectar la mayor cantidad de equipos posible.

3.               Mantenerse ocultos el mayor tiempo posible (a diferencia del ransomware y de manera similar al malware tradicional).

Los cryptojackers utilizan técnicas similares al malware para escabullirse en un endpoint: descargas ocultas, campañas de phishing, vulnerabilidades en el buscador y complementos del buscador, entre otros. Y, como es de esperarse, se enfocan en el punto más débil, las personas, mediante técnicas de ingeniería social.

 

¿Estoy infectado por criptomineros?

Los criptomineros están interesados en el poder de procesamiento y  -seguramente-sacrificarán la sutileza para obtener más ganancias. La cantidad de recursos que tomen de la CPU depende de sus objetivos.

Absorber menos energía hace que sea más difícil que los usuarios desprevenidos lo noten. Robar más aumenta sus ganancias. En cualquiera de los casos, el rendimiento se verá afectado, pero si el umbral es lo suficientemente bajo, podría ser difícil distinguir al minero del software legítimo.

Los administradores de las empresas pueden buscar procesos desconocidos en sus entornos, mientras que los usuarios finales de Windows pueden acudir a Sysinternals Process Explorer para ver lo que están ejecutando. Por otra parte, los usuarios de Linux y macOS pueden investigar mediante el uso de System Monitor y Activity Monitor, respectivamente.

Cómo defenderse de los criptomineros

El primer paso para defenderse de los criptomineros es detener este tipo de malware en la puerta de acceso, ya sea a través de los firewalls o la seguridad del correo electrónico (seguridad perimetral), la cual es una de las mejores formas de eliminar amenazas conocidas basadas en archivos.

 

Dado que a las personas les gusta volver a utilizar códigos viejos, atrapar a los cryptojackers como Coinhive también fue un primer paso sencillo. Sin embargo, en febrero de 2019, Coinhive anunció públicamente el fin de sus actividades el 8 de marzo. El servicio comunicó que “ya no era económicamente viable” y que el “desplome” afectaba al negocio de manera considerable.

 

A pesar de estas noticias, SonicWall prevé un aumento en nuevas variantes y técnicas de cryptojacking para llenar el vacío.

 

El cryptojacking  podría convertirse en un método de preferencia para agentes malintencionados gracias a su cautela; los daños menores e indirectos a las víctimas reducen las posibilidades de exposición y extienden la valiosa vida útil de un ataque exitoso.

 

Si el tipo de malware es desconocido (nuevo o actualizado), entonces traspasará los filtros estáticos en el perímetro de seguridad. Si un archivo es desconocido, será redirigido a un sandbox para inspeccionar su naturaleza.

 

El sandbox multimotor Capture Advanced Threat Protection (ATP) de SonicWall está diseñado para identificar y detener el malware escurridizo que pueda evadir un motor, pero no al resto.

 

Si tiene un endpoint que no se encuentra detrás de esta configuración habitual (p. ej., tiene itinerancia en un aeropuerto o un hotel), necesita desplegar un producto de seguridad de endpoints que incluya detección de comportamientos.

Los criptomineros pueden operar en el buscador o enviarse a través de un ataque sin archivos, por lo que las soluciones gratuitas no logran detectarlos la mayoría de veces.

Un antivirus que se basa en el comportamiento como SonicWall Capture Client detectaría que el sistema quiere minar monedas y luego desactivaría la operación. Un administrador puede poner al malware en cuarentena fácilmente y eliminarlo o, en caso de que dañe los archivos del sistema, revertir el sistema al último estado sano antes de que se ejecute el malware.

 

Las organizaciones pueden luchar contra las formas más novedosas de malware sin importar cuáles sean las tendencias o las intenciones, mediante la combinación de defensas perimetrales y análisis de comportamientos.

Por: Redacción SysPerTec