Criptojacking, una amenaza al alza durante 2019

• Durante 2019 se ha registrado un aumento del 29% en los ataques por criptojacking.
• Politicas de seguridad en servidores mal implementadas, falta de herramientas de seguridad actualizadas o negligencias del usuario son las causas más habituales.
• Robar carteras virtuales de criptomonedas, inyectar códigos maliciosos en páginas web legítimas para minar criptomonedas o infectar equipos con malware de minado son las prácticas más habituales de criptojacking.

Escuchar la palabra ransomware todavía eriza el vello de la nuca a los responsables de los departamentos de TI de muchas empresas por los daños que este tipo de ataques puede ocasionar. Sin embargo, no es ni de lejos la peor amenaza informática que puede acechar a los ordenadores y servidores de las empresas.

El Criptojacking o ataques para el minado de criptomoneda es una de las tendencias que más ha crecido durante los últimos años. Criptojacking y ransomware tienen un objetivo común, conseguir el mayor número de Bitcoins o cualquier otro tipo de moneda virtual que se cruce en su camino.

Hace apenas cinco años pocos sabían de la existencia del blockchain o de las criptomonedas, pero el boom en su cotización de hace un par de años disparó la fiebre por las criptodivisas convirtiéndose en el principal botín y moneda de cambio para los ciberdelincuentes.

El carácter anónimo y descentralizado de las criptomonedas y su alto valor ha atraído el interés de los delincuentes que no dudan en bloquear la producción de una empresa mediante un ataque con ransomware para cobrar un rescate en Bitcoins o usar la potencia de procesado de todos los equipos de una empresa para minar criptomoneda en la sombra.

Conseguir dinero fácil: la amenaza tras la rentabilidad

Según datos de ESET, una de las empresas de seguridad informática europea con más prestigio, el 25% de los ataques por malware en España en 2019 han estado relacionados con el minado de criptodivisas, de una forma u otra.

Sin embargo, el crecimiento de la cotización de las monedas virtuales como el Bitcoin o el nacimiento de Ethereum marcó el pistoletazo de salida para este tipo de ataques para robar u obtener criptomonedas a toda costa.

Leer más: Las empresas se sitúan el punto de mira del ransomware

Hace un par de años, WannaCry y otras variantes de NotPetya sembraron el pánico atacando a diestro y siniestro para cobrar rescates en Bitcoins que otros habían minado. Pronto se dieron cuenta que era más sencillo y rentable utilizar esos mismos equipos empresariales que atacaban para minar ellos mismos su propia criptomoneda.

Las empresas pueden tardar meses en descubrir que sus equipos están infectados por un criptojaker, tiempo que el ciberdelincuente habrá exprimido al máximo la máquina para completar los bloques de cálculo con los que se obtienen las criptomonedas.

Los ciberdelincuentes obtienen una mayor rentabilidad con este sistema, ya que habitualmente optan por el minado de Monero, Ethereum u otras monedas virtuales minoritarias, que tienen un gran potencial de crecimiento.

Es por ello que los ataques se están centrando en aprovechar la potencia de procesado de redes botnet con equipos “zombi” para minar grandes cantidades de estas monedas relativamente sencillas de obtener, pero que en unos años pueden incrementar mucho su valor.

Criptojacking o cómo los ordenadores de tu empresa pueden estar minando para otros

Se conoce como cryitojacking al ataque que infecta a una máquina utilizando toda o parte de su potencia de procesado para minar criptomoneda que se enviará directamente a la cartera del ciberdelincuente.

Dicho así no parece un negocio muy rentable ya que el minado de criptomoneda requiere una gran potencia de cálculo y tiempo para desbloquear la recompensa, y los endpoints de una empresa no destacan por ser equipos especialmente potentes.

Pero, ¿qué sucede cuando el atacante utiliza la red empresarial para infectar todos los equipos y servidores de una empresa y crear una botnet de minado? En ese caso la potencia total de cálculo aumenta exponencialmente, y a los delincuentes les sale gratis la factura de la luz. Es el 100% de beneficios a coste 0.

El minado de criptomoneda requiere un gran esfuerzo de potencia y energía, por lo que la empresa verá como sus equipos y servidores dejan de responder porque toda la potencia se desvía al minado.

Además, la empresa verá aumentada considerablemente su factura eléctrica y los ordenadores empezarán a fallar por encontrarse sometidos a una enorme carga de trabajo para la que no están preparados, eso sin contar el descenso en la productividad a causa de la lentitud general del sistema. Según un informe del Centro Criptológico Nacional (CCN-CERT), este tipo de ataques han causado pérdidas de más de 880 millones de dólares. 

El problema del criptojacking es que, a diferencia del ransomware, su objetivo es pasar inadvertido para así continuar minando el máximo tiempo posible. De hecho, investigadores de la policía francesa descubrieron el pasado mes de agosto un malware minero de XRM inusualmente sigiloso que se apagaba a sí mismo cada vez que el usuario ejecutaba el gestor de tareas para ver qué programa estaba ralentizando el equipo.

Infecciones multiplataforma, no existe ningún sistema 100% seguro

Los ataques de minado de criptomonedas se han extendido a todo tipo de sistemas operativos y plataformas, tirando por tierra el, ya de por sí falso mito de la invulnerabilidad de algunos sistemas operativos.

Es precisamente esa creencia de que las amenazas solo afectan a unos determinados sistemas operativos los que hacen que los usuarios de esos sistemas hayan bajado la guardia y no cuenten con herramientas de seguridad informática adecuadas.

El criptojacking es un problema que no solo puede afectar a todos los sistemas operativos de escritorio y móvil, también puede afectar a las páginas web corporativas. Mediante inyección de código malicioso, la web corporativa puede convertirse en una amenaza de seguridad para sus visitantes, ya que usarán la web para minar criptomoneda en sus equipos desde el navegador.

Leer más: Cómo lucha la Europol contra los delitos con bitcoin y otras criptomonedas

Este tipo de ataque se ha repetido en numerosas ocasiones durante los últimos años, afectando a la reputación de importantes empresas y organismos oficiales.

En muchos de estos casos los delincuentes inyectaban un script en la página web llamado Coinhive, que ejecuta un script oculto en el navegador sin que el usuario que la visita tenga que descargar nada. Simplemente su ordenador se ralentizará mientras visite la web.

Esto, a medio y largo plazo, afectará tanto al número de visitas que recibirá, a su posicionamiento y a la experiencia de uso de la web, además de la crisis reputacional si se hace público antes de que el personal de la empresa lo descubra.

Los ataques a los dispositivos móviles para el minado de criptomoneda están en auge en los últimos meses, y en general, cualquier dispositivo del Internet de las cosas (IoT) con una mínima potencia que pueda servir para el minado de monedas virtuales (Smart TV, routers, etc.).

Phising y técnicas tradicionales para conseguir nuevos objetivos

Los ciberdelincuentes buscan obtener la máxima rentabilidad con el mínimo esfuerzo, por lo que explotan los mismos vectores de ataque que les han funcionado durante años.

¿Por qué intentar un ataque contra un usuario privado para hacerte con el control de un solo ordenador, si existen millones de servidores de empresas vulnerables que pueden servirte de puerta de acceso para toda una red de ordenadores?

Servidores con la configuración de seguridad por defecto o con el software desactualizado son el principal objetivo para los delincuentes. Pero no es la única vía de entrada para hacerse con el control de los ordenadores de una empresa.

La Gendarmería francesa desmanteló una red de bots destinada al minado de la moneda virtual Monero creada por un malware llamado Retadup. Este malware infectó 850,000 ordenadores en más de 100 países, y se distribuyó utilizando técnicas tan tradicionales como el envío de correos electrónicos cargados de virus con ofertas de fotos eróticas o dinero rápido, a través de unidades USB infectadas.

El Phishing es otra de las técnicas utilizadas por los atacantes para engañar a los usuarios y descargar el malware en el equipo de la víctima incluso mediante engaños o robarle la cartera de criptomonedas haciéndole creer que estaba enviando la transferencia a otra cuenta.

En definitiva, son las técnicas de toda la vida, pero dirigidas a obtener criptomonedas en lugar de los datos del usuario o, en muchas ocasiones, además de esos datos.

¿Cómo pueden protegerse los equipos empresariales?

Desde ESET dan algunas recomendaciones de seguridad informática para reforzar la protección de los endpoints y servidores. Una de las más básicas es tener instalada una herramienta de seguridad y mantenerla siempre actualizada.

La mayoría de suites de seguridad informática para usuarios, o sistemas de protección de endpoints y servidores para empresas, son capaces de detectar un uso excesivo de recursos y bloquear el servicio que lo está provocando.

Además, se recomienda a los departamentos de TI establecer un control más riguroso sobre la ejecución de código JavaScript en el navegador de los equipos de la empresa, así como la formación del personal para que sean conscientes de los riesgos y amenazas que se ciernen sobre ellos.

El uso de herramientas globales para la securización de servidores y endpoints mejorará la seguridad general de la empresa, no solo ante la amenaza que supone el criptojacking, sino como refuerzo para todo tipo de ataques informáticos contra los servidores empresariales o contra los endpoints.