El auge del criptojacking no ha soprendido sorprendió a los que se encuentran en los mundos de la criptografía y la seguridad. De hecho, lo único sorprendente fue quizás el tiempo que le tomó a los ciberdelincuentes usar el criptojacking para extraer criptomonedas.

A medida que el auge de las criptomonedas se afianzó a finales de 2017, también lo hizo un aumento repentino de incidentes de ataques de criptojacking maliciosos.

Los picos del auge de las criptomonedas han desaparecido hace ya unos meses; los mercados de criptomonedas ya se han vuelto algo más estables, aunque todavía son impredecibles. ¿La disminución del precio se ha correlacionado con una reducción de los incidentes de criptojacking? Esto es lo que necesitas saber.

¿Qué es el Cryptojacking?

Cryptojacking es un ataque donde el atacante ejecuta software de mineria de criptomonedas en el hardware de tu ordenador sin tu permiso. El atacante se queda con la criptomoneda y la vende con fines de lucro, y tu te quedas atascado con un alto uso de la CPU y una factura de electricidad muy elevada.

Mientras que Bitcoin es la criptomoneda más conocida, los ataques de criptojacking suelen implicar la extracción de otras criptomonedas. Monero es la más normal en este tipo de ataques, ya que está diseñado para que la gente pueda extraerlo en un PC de caratersíticas medias. Monero también es anónimo, lo que significa que es difícil rastrear el lugar donde el atacante finalmente envía el Monero que minan en el hardware de sus víctimas.

Este Cryptojacking implica la ejecución de ecuaciones matemáticas complejas, que utilizan mucha potencia de CPU. En un ataque típico de criptojacking, el software de minería maximizará la CPU de tu PC. tu PC funcionará más lentamente, consumirá más energía y generará más calor. Puede ser que oigas a sus ventiladores girar para refrescarse cuando no estás usando el equipo a máxima potencia que es cuando lo necesitarían. Si es un portátil, su batería se agotará más rápido. Incluso si se trata de un escritorio, absorberá más electricidad y aumentará la factura de electricidad.

La premisa básica y habitual de un ataque cryptojacking es:

  • Un usuario desprevenido llega a una una página web comprometida.
  • La página web tiene un pequeño fragmento de código JavaScript que contiene el código cryptojacking.
  • El código cryptojacking secuestra el procesador del sistema y lo pone minando criptomonedas, normamente suele ser la moneda Monero.
  • En algunos casos, el JavaScript abre una ventana del navegador minimizada y oculta. Cuando el usuario abandona el sitio, la minería continúa sin que el usuario lo sepa.
  • Sin embargo, la mayoría de los ataques de cryptojacking terminan cuando se cierra la pestaña del sitio web.

El Cryptojacking no sólo se basa en el uso de navegadores. Hay varios tipos de malware que minan criptomonedas después de infectar el sistema. La mayoría de los programas maliciosos intentan permanecer en silencio y pasar desapercibidos, pero el criptojacking es más silencioso que la mayoría. Cuanto más tiempo pueda permanecer invisible un tipo de malware de cryptojacking, mayor será la recompensa potencial para el atacante.

En definitiva el Cryptojacking es sencillamente un robo. Los usuarios confiados no están perdiendo dinero directamente, sino que están perdiendo recursos de su sistema para impulsar la ganancia financiera de otra persona. Y aunque el criptojacking es malicioso, no deja ningún daño a largo plazo en el sistema atacado, a pesar de ejecutar la CPU al máximo o casi al máximo durante un corto periodo de tiempo. Estate al tanto de cualquier subida de temperatura inusual de tu sistema.

¿Por qué el Cryptojacking debe utilizar recursos del sistema?

Las criptomonedas no crecen en los árboles. No, crece en los servidores, esperando a que los mineros se hagan con ellas. Los scripts de Cryptojacking utilizan principalmente la CPU del sistema para hacer esto.

Las criptomonedas gestionan las transacciones a través de la cadena de bloques. Cada transacción de red se añade a un bloque. El bloque se distribuye a una red de mineros conectados para su verificación. Cada minero tiene una copia de la cadena de bloques específica de esa criptomoneda y puede validar y procesar transacciones para esa red.

Cuando llega un nuevo bloque, el sistema de minería procesa ecuaciones complejas para verificar el contenido del bloque. Al verificarlo, el bloque se añade a la cadena de bloques, y los mineros reciben una recompensa por sus esfuerzos. En el caso de Bitcoin, la recompensa es de 12,5 BTC, compartidos entre los mineros contribuyentes.

La clave del éxito de las criptomonedas es la velocidad y la potencia de procesamiento. ¿Qué tan rápido puede un sistema verificar las transacciones dentro del bloque? La minería Bitcoin es esencialmente inútil para cualquiera que no utilice hardware especializado de criptografía minera. El enorme volumen de energía que se necesita para esta actividad no lo puede dar un simple ordenador doméstico.

Si no es Bitcoin, ¿qué están extrayendo los mineros de tu sistema?

A pesar de que el precio de Bitcoin bajó desde los más de 19.000 dólares a los que llego a finales de 2017 y volvió durante 2018 a sus niveles anteriores e inclluso más bajos, la minería de Bitcoin es inaccesible. Además, los tokens basados en Ethereum y ERC-20 utilizan las GPU o tarjetas gráficas para extraer criptomonedas. Entonces, ¿qué es lo que los secuestradores de sistemas intentan extraer?

En su mayor parte, los scripts de criptojacking de los navegadores y el malware de criptojacking están minando la criptonomeda Monero. Es una criptomoneda ligera, libre, privada y centrada en el anonimato que es más fácil de extraer que Bitcoin y teóricamente proporciona protección a los ladrones de criptomoneda minera después de haber utilizado tu sistema para su minería. Pero no todos son para minar Monero. Más adelante veremos varias amenazas avanzadas de criptojacking que minan Bitcoin.

Pero aunque Monero es infinitamente más fácil de explotar que Bitcoin, sigue necesitando mucha potencia de cálculo bruta. La potencia de cálculo en bruto requiere inversión en hardware. Y ahí es donde entra el ataque a los sistemas de los usuarios que entran en páginas webs infectadas.  ¿por qué no intentarían maximizar los beneficios?

Cryptojacking con JavaScript

El primer ataque de criptojacking utilizando código Javascript generalizado vino de CoinHive, una compañía que quiere alterar la forma en que interactuamos con Internet y los beneficios publicitarios que esencialmente sustentan casi totalmente Internet hoy en día.

La visión de CoinHive era que la criptomoneda autorizada reemplazara a la publicidad. Los sitios web podrían seguir generando ingresos en función de las visitas a las páginas y del tiempo que pasen en el sitio, y los usuarios podrían evitar los anuncios sin sentirse mal por utilizar un bloqueador de anuncios.

Como vimos en las noticias hace unos meses el famoso sitio con contenido para descargar, The Pirate Bay, fue uno de los primeros en experimentar con el modelo CoinHive. Desafortunadamente, no pasó mucho tiempo antes de que los ciberdelincuentes se dieran cuenta de que podían fácilmente reutilizar el script minero de CoinHive para obtener medios no tan buenos. El script original tiene un comando de porcentaje de uso de minado de un procesador. Originalmente configurado en un 30% para que los usuarios pudieran seguir utilizando su navegador, los criptojackers lo aumentaron al 100% en todos los núcleos, para maximizar los beneficios durante el presumiblemente corto tiempo que la mayoría de los usuarios permanecen en una página infectada por este tipo de malware.

Para ser justos con CoinHive, se dieron cuenta de lo que estaba pasando y publicaron una actualización de su código. La nueva versión, conocida como AuthedMine, ofrece a los usuarios la oportunidad de participar en el proceso de minería de criptomonedas, recuperando su propósito pacífico y original como una alternativa publicitaria. Dicho esto, el opt-out sigue siendo el opt-out. Es decir, los propietarios de sitios web no tienen que usar AuthedMine, y no tienen ninguna obligación de informar al usuario sobre lo que hace a sus espaldas con su sistema.

La Evolución del Cryptojacking

El Cryptojacking está en continua evolución. Como todos los ciberataques rentables y en gran medida libres de riesgos, los ciberdelincuentes detras de la mineria de criptomonedas, como todos los delincuentes, siempre quieren mayores ganancias para sus inversiones y están dispuestos a hacer evolucionar el criptojacking para su beneficio.

En los primeros días del criptojacking, uno de los métodos más fáciles para aumentar los beneficios era utilizar un bucle de redirección. Las víctimas desprevenidas son enviadas a través de una serie de páginas web antes de aterrizar en una que tenga un script de minera instalado.

Otra técnica ya mencionada es abrir una nueva ventana del navegador que se minimiza y se oculta detrás de la barra de tareas. La minúscula ventana del navegador está oculta detrás del reloj del sistema y es entonces «libre» para funcionar invisiblemente hasta que el usuario nota que algo está no funciona bien en su sistema.

Se descubrió que algunas extensiones del navegador ocultaban scripts de cripto-minería sin notificar al usuario. Algunas extensiones fueron robadas a sus desarrolladores, se les inyectó el script de cryptojacking, y luego fueron re-cargadas o actualizadas e la tienda de extensiones. De hecho, Google prohibió rápidamente todas las extensiones para su navegador Chrome que tenían los scripts de cryptojacking.

Pero eso no es todo. Rapidamente los ciberdelincuentes se dieron cuenta que los con los ordenadores domésticos no conseguían lo que querían rapidamente y fijaron sus ataques contra ordenadores empresariales, normalmente superordanadores más potentes que un simple ordenador de un usuario normal. Así por ejemplo en febrero de 2018, el fabricante de vehículos eléctricos Tesla anunció que había sido víctima de un ataque de criptojacking. RedLock Cloud Security Intelligence reveló que una vulnerable consola de administración del sistema de código libre Kubernetes expuso las credenciales de inicio de sesión en el entorno de Tesla Amazon Web Service, y los hackers convirtieron inmediatamente esa enorme potencia informática a minar criptomonedas. El proveedor de seguros británico, Aviva, y la firma internacional de seguridad digital, Gemalto, también fueron víctimas de la misma vulnerabilidad de ataque de cryptojacking.

Casi un tercio de las empresas británicas se han enfrentado a algún tipo de malware de minería de criptomonedas en solamente un mes, según el estudio publicado en Internet of Business. La encuesta se llevó a cabo en mayo de 2018 y sólo cubrió empresas con más de 250 empleados.

Aproximadamente el 38% de esas empresas encuestadas creen que nunca fueron atacadas, mientras que el 59% ha experimentado alguna forma de ataque en el pasado. De los afectados, el 80% declara que lo sufrieron en los últimos seis meses.

Según la encuesta, la mayoría de los ataques,60%, se dirigieron en contra de hasta 50 dispositivos, y sólo el 11% han tenido un alcance de más de 100. El mayor alcance de ataque de este tipo repercute en gran medida en los balances de las empresas.

Otros informes sugieren que la ya vulnerable Internet de las Cosas también es un objetivo principal para el criptojacking debido a que es algo que todavía está en sus inicios y no dispone de una seguridad tan avanzada como los equipos informáticos. El informe Fortinet Threat Landscape Report descubrió que el 23 por ciento de sus encuestados estaban expuestos al malware de criptografía. Los dispositivos de IO son un objetivo atractivo y fácil debido a su escasa seguridad, gran volumen y estado siempre activo.

Explosión de malware Cryptojacking

Sin embargo, otras fugas de seguridad también contribuyen al panorama del criptojacking. Seguramente recordaras el ataque del gusano WannaCry de 2017. WannaCry fue el resultado directo de trabajos desconocidos que la NSA desarrolló y acumuló de forma encubierta. Los Shadow Brokers, un grupo de hackers con presuntos vínculos con el gobierno ruso, filtraron numerosas hazañas, incluyendo EternalBlue, que fue crucial en la propagación del gusano de WannaCry a un ritmo tan rápido.

Los hackers de todo el mundo se dan cuenta cuando una herramienta causa tal devastación, solucionado por el investigador de seguridad Marcus Hutchins, alias MalwareTech, que ahora se enfrenta a una serie de acusaciones de piratería informática en los Estados Unidos. El paso siguiente de los cibercriminales fue combinar EternalBlue con una código de malware que extrae criptomonedas y ataca el sisitema y así nació WannaMine. WannaMine fue detectada por primera vez por Panda Security y, al igual que WannaCry, es extremadamente difícil de detectar y bloquear.

Campañas de Cryptojacking de malware a nivel nacional, otro nivel

Pero no son sólo los hackers privados los que ponen en práctica el ataque criptojacking. Ahora ya ha pasado a nivel de los gobiernos. Por ejemplo, el grupo de hacking patrocinado por el estado de Corea del Norte, Lazarus, lanzó un troyano de cryptojacking para atacar a varias instituciones bancarias de alto perfil. Aparte del notable ataque directo a organizaciones bancarias y financieras, el ataque de Lazarus «AppleJeus» ataca casi exclusivamente a sistemas macOS, con un exploit de Linux que se dice que está en desarrollo.

Además, desde el supuesto éxito del ataque de AppleJeus, Lazarus está directamente relacionado con el malware Ryuk cryptojacking que, en el momento de escribir este artículo, había conseguido robar más de 600.000 dólares. No se trata sólo de especulaciones extravagantes; el malware Ryuk lleva el sello de la variante de malware del grupo Hermes de Lazarus , la misma variante utilizada para distraer a los servicios de seguridad durante el intento de robo de 60 millones de dólares en el Banco Internacional del Lejano Oriente de Taiwán. El malware de Ryuk es interesante porque los objetivos parecen haber sido seleccionados a mano. Es decir, cada nota de rescate es diferente, hace una demanda diferente, y así sucesivamente.

Cómo protegerse de Cryptojacking en el Navegador

Recomendamos ejecutar un software de seguridad que bloquee automáticamente la minería de criptomonedas en tu navegador. Por ejemplo, Malwarebytes bloquea automáticamente CoinHive y otros scripts de minería de criptomonedas, impidiendo que se ejecuten en de tu navegador. El antivirus incorporado de Windows Defender en Windows 10 no bloquea todos los ataques mineros del navegador. Es importante que veas las especificaciones de tu antivirus para ver si bloquean los scripts de minería.

Aunque el software de seguridad debería protegerte, también puedes instalar una extensión de navegador que proporcione una «lista negra» de scripts de minería.

En un dispositivo iPhone, iPad o Android, las páginas web que utilizan mineria de criptomonedas deben dejar de minar tan pronto como se aleje de la aplicación de navegador o cambies de pestaña. El sistema operativo no les permite usar mucha CPU en segundo plano.

En un PC con Windows, Mac, Linux o Chromebook, el sólo hecho de tener las pestañas abiertas en segundo plano permite que un sitio web utilice tanta CPU como desee. Sin embargo, si tienes software que bloquea esos scripts de minería, no deberías tener que preocuparse.

¿Irá a más el Cryptojacking?

En un principio la tasa de criptojacking se relaciona directamente con el precio de las criptocurrencies, como es habitual con todo. A medida que el precio de Bitcoin bajaba, también lo hacían los incidentes de criptojacking. Sin embargo, los informes ofrecen otra vision. El informe sobre las amenazas de los laboratorios McAfee de junio de 2018 afirma que el «recuento del malware total de los mineros de monedas aumentó un 629% en el primer trimestre, hasta alcanzar más de 2,9 millones de ataques». El informe profundiza más, confirmando que en comparación con «las actividades delictivas cibernéticas bien establecidas, como el robo de datos y el software de rescate, el criptojacking es más sencillo, más directo y menos arriesgado».

Por Favor evalua el artículo