/ ¿Qué es el criptojacking?
¿Qué es el criptojacking?
El criptojacking es un tipo de ciberataque en el que un ciberdelincuente secuestra una computadora o dispositivo móvil y utiliza su poder de procesamiento para extraer criptomonedas como bitcoin. El malware de criptojacking es difícil de detectar, pero puede tener graves consecuencias para las organizaciones, como desaceleración del rendimiento, aumento de los costos de electricidad y daños al hardware por sobrecalentamiento.
¿Cómo funciona el criptojacking?
El criptojacking emplea malware o código malicioso para apropiarse de la potencia de procesamiento de los dispositivos de las víctimas (laptops, computadoras de escritorio, smartphones, etc.) para su uso en la minería de criptomonedas.
Veamos cómo se desarrolla un ataque de cryptojacking.
- Envío/Infección: Lo más habitual es que los atacantes consigan que el código de criptominería se ejecute en el dispositivo de la víctima, a través de estafas de ingeniería social como el phishing, páginas web maliciosas, etc. Los sitios web y los servicios en la nube comprometidos con código de criptominería pueden desviar silenciosamente la potencia de cálculo de los usuarios mientras permanecen conectados.
- Ejecución: Los scripts de criptominería se ejecutan en un dispositivo comprometido, utilizando su CPU o GPU para resolver acertijos criptográficos difíciles. A menudo, el dispositivo pasa a formar parte de una red zombi que combina la potencia informática de muchos terminales infectados para dar al minero una ventaja en la carrera de la blockchain.
- Beneficio: el minero cuyos esfuerzos computacionales (legítimamente propios o no) resuelven el rompecabezas criptográfico recibe primero la "recompensa en bloque", una asignación de criptomonedas enviada a su billetera digital. Mientras tanto, las víctimas del cryptojacking no obtienen ninguna recompensa y terminan pagando indirectamente por ella.
A diferencia del ransomware, que llama la atención como paso clave de un ataque, el software de criptojacking se ejecuta de la manera más silenciosa posible para aumentar la vida útil y la rentabilidad del ataque. Puede utilizar técnicas de cifrado y antianálisis para eludir las soluciones básicas de detección de ciberamenazas, ralentizar o pausar su uso del CPU en función de la actividad del usuario, y mucho más para evitar levantar sospechas.
¿Qué es la criptomoneda?
La criptomoneda es una moneda digital creada sobre un libro de contabilidad digital descentralizado llamado blockchain, en el que todas las transacciones están vinculadas criptográficamente, lo que la hace altamente estable y segura. Aunque tiene muchos usos legítimos, los hackers valoran la criptodivisa porque se pueden realizar transacciones sin utilizar una identidad real.
La criptomoneda se crea a través de la minería de criptomonedas, que utiliza grandes cantidades de recursos informáticos para resolver complejos problemas matemáticos que validan las transacciones de la cadena de bloques y crean nuevos bloques. Cuando se alcanza una solución, el minero responsable recibe la nueva moneda "acuñada".
¿Cuáles son las fuentes del malware de criptojacking?
El malware de criptojacking se parece mucho a otros tipos de malware en cuanto a dónde puede aparecer naturalmente. La mayoría de las veces, puede encontrarse en relación con:
- Sitios web comprometidos, plugins o extensiones del navegador inyectados con código malicioso
- Minería basada en el navegador o "drive-by"; en sitios web que, de otro modo, no serían intrínsecamente maliciosos
- Descargas maliciosas disfrazadas de software benigno, especialmente aplicaciones gratuitas o torrents
- Correos electrónicos de phishing que contienen archivos adjuntos infectados o que conducen a sitios web maliciosos
- Anuncios maliciosos que contienen scripts de cryptojacking que se ejecutan cuando se hace clic o se ve el anuncio
¿Qué significa el malware de criptojacking para su empresa?
A nivel organizacional, el costo diario del criptojacking puede no llamar la atención. Sin embargo, rápidamente puede sumar cientos o incluso miles de dólares por mes, por no hablar del potencial de:
- Rendimiento degradado del sistema, que puede frustrar y ralentizar a sus usuarios, afectando a la productividad.
- Facturas y uso de la energía más elevados, lo que puede perjudicar a sus resultados y actuar en contra de los objetivos medioambientales.
- Daños en el hardware informático, que pueden generar costos imprevistos de mantenimiento y reemplazo
Ejemplos de criptojacking de la vida real
A pesar de los riesgos, ningún ataque de criptojacking ha alcanzado la fama mundial de los ataques a la cadena de suministro y el ransomware como WannaCry o el ataque a SolarWinds. A diferencia de esos ataques, la manera silenciosa y discreta en que opera el criptojacking es lo que lo hace peligroso. Veamos algunos ejemplos.
Botnet Smominru
Desde 2017, Smominru ha infectado cientos de miles de sistemas Microsoft Windows en todo el mundo para minar la criptomoneda Monero. Se propaga forzando credenciales RDP y explotando vulnerabilidades de software, e incluso puede ejecutar ransomware, troyanos y más en los sistemas comprometidos.
The Pirate Bay
En 2018, se descubrió que el sitio de intercambio de archivos P2P The Pirate Bay ejecutaba código JavaScript creado por el ahora desaparecido servicio de minería de criptomonedas Coinhive. El script de cryptojacking se ejecutaba sin el consentimiento de los usuarios -y sin manera de excluirse- mientras navegaban por el sitio, utilizando su potencia de cálculo para minar Monero.
Graboid
Descubierto por primera vez en 2019, Graboid es un gusano que explota contenedores Docker no seguros (es decir, expuestos a Internet). Se propaga desde hosts comprometidos a otros contenedores en sus redes, donde secuestra los recursos de sus sistemas infectados para minar Monero.
Bibliotecas de imágenes de código abierto
Alrededor de 2021, los investigadores observaron un repunte en el número de imágenes de criptojacking en repositorios de código abierto como Docker Hub. A finales de 2022, la característica más común entre las imágenes maliciosas era el código de cryptojacking (Google Cloud Cybersecurity Action Team, 2023).
¿Por qué tanto Monero?
Monero es popular en la ciberdelincuencia porque sus transacciones son anónimas y no visibles públicamente, a diferencia de las monedas que utilizan libros de contabilidad transparentes, como el bitcoin.
Señales de que podría ser víctima de un criptojacking
Los ataques de criptojacking mantienen un perfil bajo para prolongar el uso no autorizado de su sistema, pero si sabe qué buscar, es posible que pueda identificar sus actividades antes de que el costo para usted o su organización sea demasiado alto. Durante las operaciones de minería, podría notar lo siguiente:
- Problemas de rendimiento como ralentización, congelación, bloqueos o temperaturas de funcionamiento más elevadas.
- Alta utilización de CPU/GPU incluso con muy poca ejecución (consulte el Administrador de tareas de Windows o el Monitor de actividad de macOS)
- Uso elevado o en picos de energía sin causa legítima aparente.
- Tráfico de red inusual, como comunicaciones salientes frecuentes o grandes transferencias de datos a lugares desconocidos.
- Procesos desconocidos o sospechosos que se ocultan entre los procesos legítimos en segundo plano de un sistema.
Tácticas evasivas
El malware de criptojacking puede ser capaz de cambiar dinámicamente la estructura de su código, utilizar técnicas antianálisis y sin archivos, y aprovechar la infraestructura distribuida de mando y control para eludir la detección por parte de herramientas tradicionales como los antivirus básicos.
¿Cómo se puede detectar y prevenir el cryptojacking?
Más allá de las señales de advertencia comunes, puede aplicar algunas tecnologías y estrategias sencillas para evitar que los ataques de criptojacking se instalen en su entorno, o detenerlos incluso antes de que se produzcan.
- Eduque a los usuarios y a los equipos sobre las señales de advertencia. Es posible que los usuarios no informen de problemas como el bajo rendimiento si no entienden lo que podría indicar. Para el personal de TI, de asistencia técnica y de NetOps, las pruebas de procesos de minería no autorizados son un factor importante a tener en cuenta al investigar y responder a los informes.
- Encuentre pruebas ocultas con la búsqueda proactiva de amenazas. Es posible que los signos más claros de actividad de cryptojacking no se muestren donde los usuarios puedan verlos. El personal de seguridad capacitado o los cazadores de amenazas dedicados pueden trabajar para identificar e investigar anomalías de comportamiento y otros indicadores sutiles de vulneraciones de cryptojacking.
- Utilice herramientas efectivas para supervisar y bloquear el tráfico de criptominería. La mejor manera de detener el cryptojacking es, en primer lugar, evitar que se inicie. Para ello, necesita una solución que garantice que cada paquete de cada usuario, dentro o fuera de la red, sea inspeccionado completamente de principio a fin, con capacidad ilimitada para inspeccionar TLS/SSL. Zscaler puede ayudarle.
Protección contra criptojacking de Zscaler
Zscaler Internet Access™ (ZIA™), un componente central del Zscaler Zero Trust Exchange nativo de la nube, proporciona protección siempre activa contra el criptojacking (así como contra el ransomware, las amenazas de día cero y el malware desconocido) como parte de su suite de protección avanzada contra amenazas impulsada por la IA.
La política preconfigurada en ZIA, activa desde el momento de la implementación, le permite bloquear automáticamente el tráfico de criptominería y generar alertas opcionales. ZIA puede detectar el tráfico de criptominería a medida que pasa por Zero Trust Exchange, incluso si está cifrado.
ZIA ofrece:
- Prevención en línea completa. La arquitectura proxy en línea es la única manera confiable de poner en cuarentena y bloquear contenidos y ataques sospechosos a escala empresarial.
- Sandbox y ML en línea. Zscaler Sandbox utiliza ML integrado para análisis avanzados para detener rápidamente ataques nuevos y evasivos basados en archivos.
- Inspección SSL siempre activa. Distribuida a través de una plataforma global, obtendrá una inspección SSL infinita que sigue a los usuarios, dentro y fuera de la red.
- El efecto nube de Zscaler. Aprovechamos los datos sobre amenazas de la mayor nube de seguridad del mundo (que procesa más de 300,000 millones de transacciones al día y docenas de fuentes de amenazas externas) para compartir las protecciones contra amenazas en todo el mundo en tiempo real.