/ ¿Qué es el cryptojacking?
¿Qué es el cryptojacking?
El cryptojacking es un tipo de ciberataque en el que un ciberdelincuente secuestra un ordenador o dispositivo móvil y utiliza su poder de procesamiento para extraer criptomonedas como bitcoin. El malware de cryptojacking es difícil de detectar, pero puede tener graves consecuencias para las organizaciones, como desaceleración del rendimiento, aumento de los costes de electricidad y daños al hardware por sobrecalentamiento.
¿Cómo funciona el cryptojacking?
El cryptojacking utiliza malware o código malicioso para apoderarse de la potencia de procesamiento de los dispositivos de las víctimas (portátiles, ordenadores de sobremesa, smartphones, etc.) para su uso en minería de criptomonedas.
Veamos cómo progresa un ataque de cryptojacking.
- Entrega/Infección: los atacantes suelen ejecutar el código de criptominería en uno de los dispositivos de la víctima, a través de estafas de ingeniería social tales como phishing, páginas web maliciosas, etc. Los sitios web y los servicios en la nube comprometidos con código de criptominería pueden desviar silenciosamente la potencia computacional de los usuarios mientras permanecen conectados.
- Ejecución: los scripts de criptominería se ejecutan en un dispositivo comprometido, utilizando su CPU o GPU para resolver acertijos criptográficos difíciles. El dispositivo a menudo se convierte en parte de una botnet que combina el poder computacional de muchos puntos finales infectados para darle al minero una ventaja en la carrera de blockchain.
- Beneficio: el minero cuyos esfuerzos computacionales (legítimamente propios o no) resuelven el rompecabezas criptográfico recibe primero la "recompensa en bloque", una asignación de criptomonedas enviada a su billetera digital. Mientras tanto, las víctimas del cryptojacking no obtienen ninguna recompensa y terminan pagando indirectamente por ella.
A diferencia del ransomware, que llama la atención sobre sí mismo como un paso clave de un ataque, el software de cryptojacking se ejecuta lo más silenciosamente posible para aumentar la vida útil y la rentabilidad del ataque. Puede utilizar técnicas de cifrado y antianálisis para evadir soluciones básicas de detección de soluciones de ciberamenazas, y acelerar o pausar su uso de la CPU según la actividad del usuario, entre otras acciones, para evitar despertar sospechas.
¿Qué es la criptomoneda?
La criptomoneda es una moneda digital generada en un libro de contabilidad digital descentralizado llamado blockchain, en el que todas las transacciones están vinculadas criptográficamente, lo que la hace altamente estable y segura. Si bien tiene numerosos usos legítimos, los piratas informáticos valoran las criptomonedas porque se pueden realizar transacciones sin utilizar una identidad real.
La criptomoneda se crea a través de la criptominería, que utiliza grandes cantidades de recursos informáticos para resolver problemas matemáticos complejos que validan las transacciones de blockchain y crean nuevos bloques. Cuando se llega a una solución, el minero responsable recibe moneda recién "acuñada".
¿Cuáles son las fuentes de malware de cryptojacking?
El malware de cryptojacking se parece mucho a otros tipos de malware, ya que también puede aparecer de la nada. La mayoría de las veces, se puede encontrar en relación con:
- Sitios web, complementos o extensiones del navegador a los que se ha inyectado código malicioso
- Minería basada en navegador o “drive-by” en sitios web que no son inherentemente maliciosos
- Descargas maliciosas disfrazadas de software benigno, especialmente aplicaciones o torrents
- Correos electrónicos de phishing que contienen archivos adjuntos infectados o que conducen a sitios web maliciosos
- Anuncios maliciosos que contienen scripts de cryptojacking que se ejecutan cuando se hace clic o se ve el anuncio
¿Qué significa el malware de cryptojacking para su empresa?
A nivel organizacional, el coste diario del cryptojacking quizá no llame la atención. Sin embargo, puede acumular rápidamente cientos o incluso miles de dólares por mes, por no hablar de su potencial de causar:
- Rendimiento degradado del sistema, que puede frustrar y ralentizar a sus usuarios, y afectar con ello a la productividad
- Mayor consumo y facturas de energía, lo que puede perjudicar sus resultados e ir en contra de los objetivos medioambientales
- Daños al hardware informático, que pueden generar costes imprevistos de mantenimiento y sustitución
Ejemplos de cryptojacking del mundo real
A pesar de los riesgos, ningún ataque de cryptojacking ha alcanzado la notoriedad global de los ataques a la cadena de suministro y el ransomware como WannaCry o el ataque a SolarWinds. A diferencia de esos ataques, la forma silenciosa y discreta en que opera el cryptojacking es lo que lo hace peligroso. Veamos algunos ejemplos.
Botnet Smominru
Desde 2017, Smominru ha infectado cientos de miles de sistemas Microsoft Windows en todo el mundo para extraer criptomoneda Monero. Se propaga mediante la fuerza bruta de credenciales RDP y aprovechando vulnerabilidades de software, e incluso puede ejecutar ransomware, troyanos, etc. en sistemas comprometidos.
The Pirate Bay
En 2018, se descubrió que el sitio de intercambio de archivos P2P The Pirate Bay ejecutaba código JavaScript creado por el ahora desaparecido servicio de criptominería Coinhive. El script de cryptojacking se ejecutaba sin el consentimiento de los usuarios (y sin posibilidad de detención) mientras navegaban por el sitio, utilizando su capacidad computacional para extraer Monero.
Graboid
Descubierto por primera vez en 2019, Graboid es un gusano que explota contenedores Docker no seguros (es decir, expuestos a Internet). Se propaga desde hosts comprometidos a otros contenedores en sus redes, donde secuestra los recursos de sus sistemas infectados para extraer Monero.
Bibliotecas de imágenes de código abierto
A partir de 2021, los investigadores observaron un aumento en la cantidad de imágenes de cryptojacking en depósitos de código abierto como Docker Hub. A finales de 2022, la característica más común entre las imágenes maliciosas era el código de cryptojacking (Equipo de acción de ciberseguridad de Google Cloud, 2023).
¿Por qué tanto Monero?
Monero es popular en el ámbito de la ciberdelincuencia porque sus transacciones son anónimas y no visibles públicamente, a diferencia de las monedas que utilizan libros de contabilidad transparentes, como bitcoin.
Señales de que podría ser víctima de cryptojacking
Los ataques de cryptojacking mantienen un perfil bajo para prolongar el uso no autorizado de su sistema, pero si sabe qué buscar, es posible que pueda identificar sus actividades antes de que el costo para usted o su organización aumente demasiado. Durante las operaciones mineras, es posible que observe:
- Problemas de rendimiento como ralentización, congelación, fallas o temperaturas de funcionamiento más elevadas
- Alta utilización de CPU/GPU incluso con muy poca ejecución (consulte el Administrador de tareas de Windows o el Monitor de actividad de macOS)
- Uso de energía elevado o en aumento sin causa razonable aparente
- Tráfico de red inusual como comunicaciones salientes frecuentes o grandes transferencias de datos a ubicaciones desconocidas
- Procesos desconocidos o sospechosos ocultos entre los procesos en segundo plano legítimos de un sistema
Tácticas evasivas
El malware de cryptojacking puede cambiar dinámicamente su estructura de código, utilizar técnicas antianálisis y sin archivos, y aprovechar la infraestructura distribuida de comando y control para evadir la detección de herramientas tradicionales como los antivirus básicos.
¿Cómo se puede detectar y prevenir el cryptojacking?
Más allá de las señales de advertencia comunes, puede implementar algunas tecnologías y estrategias sencillas para ayudar a evitar que los ataques de criptojacking permanezcan en su entorno, o detenerlos incluso antes de que se produzcan.
- Educar a los usuarios y equipos sobre las señales de advertencia. Es posible que los usuarios no informen de problemas como un rendimiento deficiente si no comprenden lo que podría indicar. Para el personal de TI, el servicio de atención al cliente y NetOps, la evidencia de procesos de minería no autorizados es un factor importante a tener en cuenta al investigar y responder a los informes.
- Encuentre pruebas ocultas con la búsqueda proactiva de amenazas. Es posible que los signos más claros de actividad de cryptojacking no se muestren donde los usuarios puedan verlos. El personal de seguridad capacitado o los cazadores de amenazas dedicados pueden trabajar para identificar e investigar anomalías de comportamiento y otros indicadores sutiles de vulneraciones de cryptojacking.
- Utilice herramientas efectivas para supervisar y bloquear el tráfico de criptominería. La mejor manera de detener el cryptojacking es, en primer lugar, evitar que comience. Para hacer eso, necesita una solución que garantice que cada paquete de cada usuario, dentro o fuera de la red, sea inspeccionado completamente de principio a fin, con capacidad ilimitada para inspeccionar TLS/SSL. Zscaler puede ayudarle.
Protección contra cryptojacking de Zscaler
Zscaler Internet Access™ (ZIA™), un componente central de Zscaler Zero Trust Exchange nativo en la nube, proporciona protección siempre activa contra el cryptojacking (así como el ransomware, amenazas de día cero y malware desconocido) como parte de su paquete basado en IAProtección avanzada contra amenazas.
La política prediseñadas en ZIA, activa desde el momento de la implementación, le permite bloquear automáticamente el tráfico de criptominería y generar alertas opcionales. ZIA puede detectar el tráfico de criptominería a medida que pasa por Zero Trust Exchange, incluso si está cifrado.
ZIA ofrece:
- Prevención completa en línea. La arquitectura de proxy en línea es la única forma confiable de poner en cuarentena y bloquear ataques y contenidos sospechosos a escala empresarial.
- Sandbox en línea y ML. Zscaler Sandbox utiliza ML integrado para análisis avanzados a fin de detener rápidamente ataques nuevos y evasivos basados en archivos.
- Inspección SSL siempre activa. Distribuida en una plataforma global, permite una inspección SSL infinita que sigue a los usuarios, en la red y fuera de ella.
- El efecto nube Zscaler. Aprovechamos los datos sobre amenazas de la mayor nube de seguridad del mundo, que procesa más de 300 mil millones de transacciones por día y docenas de fuentes de amenazas externas, para compartir protecciones frente a amenazas en todo el mundo en tiempo real.