Categorías

Criptominers: La amenaza emergente

Criptominers: La amenaza emergente

Para poder adentrarnos en este tema, primero es necesario explicar las bases e historia que hay detrás de las criptomonedas.

 

Por Gabriela Nicolao y Ruth Barbacil  – Deloitte Argentina (*)

 

Desde 2009, gracias a un desarrollo revolucionario de un usuario conocido bajo el pseudónimo de “Satoshi Nakamoto” – cuya verdadera identidad aún no fue revelada – han surgido las criptomonedas, también conocidas como dinero digital. Este dinero digital, el cual es muy distinto al tipo de dinero que utilizamos diariamente, tiene como características que no existe en el mundo físico (no se maneja a través de un medio tangible), está descentralizado (no hay bancos ni gobiernos que lo respalden) y es auto regulado (el propio sistema realiza el control y monitoreo). Su funcionamiento está soportado por una tecnología que es aún más revolucionaria, llamada Blockchain (cadena de bloques), en la cual quedan registradas cada una de las transacciones que se realizan de forma permanente en lo que se denomina un bloque, que no solamente guarda información sobre la transacción sino también sobre el bloque que le precede. Cada bloque es validado por una gran comunidad antes de ser añadido a la Blockchain para evitar cualquier tipo de fraude, pero encontrar un bloque es un proceso aleatorio que se conoce como minado, y cuesta mucho procesamiento de una computadora, por lo que si un usuario (o grupo de usuarios) encuentra uno, es recompensado con dinero digital.

 

El incremento de la demanda y la oferta de dinero digital a lo largo de estos años, motivado por la posibilidad de ganar dinero logró captar el interés del cibercrimen, quien hace uso de esta tecnología de forma maliciosa.

 

El bitcoin fue la primera criptomoneda, seguida por otras monedas conocidas como Ethereum, Monero, Zcash, Ripple, Litecoin, y Dash, entre otras, las cuales supieron insertarse en el mercado al tratar de curar algunas de las falencias que presentaba bitcoin, como no permitir el anonimato en las transacciones.

 

Todos hemos observado en estos últimos años la expansión en el mercado de la amenaza conocida como “Ransomware”, un malware que cifra o bloquea la información de la víctima en una computadora, quien es extorsionada para pagar mediante el uso de criptomonedas el rescate de sus archivos, aprovechándose de la criticidad de la información almacenada y afectada.

 

Sin embargo, desde alrededor de mediados de 2017, hemos también observado un nuevo jugador en el campo de las ciberamenazas, acompañado de una fuerte caída del uso del ransomware. Esta tendencia probablemente se debe a que los cibercriminales encontraron una forma más fácil de conseguir dinero sin ejercer tanto esfuerzo sumado a que las víctimas desconfían del pago de un rescate sobre sus archivos debido a la falta de garantías por parte de los cibercriminales.

 

En un principio, cualquier persona podía tener computadoras personales o servidores caseros en su casa y minar criptomonedas. Sin embargo, atrás quedaron esos días, ya que ha dejado de ser redituable debido al aumento de complejidad necesaria para encontrar un bloque, dejando un pequeñísimo margen de ganancia en la actualidad en contraste con las altísimas facturas de luz que los usuarios reciben. A pesar de esto, los cibercriminales lograron encontrar una forma de que minar criptomonedas siga siendo redituable: a través del uso no autorizado de computadoras de otros, usando criptominers.

 

Durante años, los criminales han intentado obtener ganancias a costa de sus víctimas, usualmente mediante el uso de troyanos o programas potencialmente maliciosos (en inglés, PuP) generalmente distribuidos por medio de malvertising. En 2011, se desarrolló una técnica pensando en evitar el uso de publicidad en los sitios y aun así poder generar ganancias para sus administradores, la cual se conoció como cryptojacking y consiste en minar criptomonedas a través del browser de los usuarios. Esta técnica fue rechazada debido al uso del procesamiento de las máquinas de los usuarios sin informarles adecuadamente, de hecho algunas páginas conocidas como Starbucks Argentina o PirateBay implementaron esta técnica y fueron rápidamente repudiados por los usuarios. La ventaja de esta técnica por parte de los atacantes, es que no necesitan usar un exploit o que la víctima ejecute un programa para infectarse; con el simple hecho de visitar una página que esté corriendo un programa de JavaScript, la víctima comienza a minar, sin necesidad por parte del atacante de obtener acceso o persistencia en la máquina infectada.

 

El cryptojacking se puede eliminar fácilmente al cerrar el navegador de internet, pero los atacantes también pensaron en esto y comenzaron a abrir pestañas en el navegador de forma silenciosa para que la víctima siga minando a pesar de cerrar el navegador.

 

Además del cryptojacking, existen los criptominers que se instalan como plugins en los navegadores y los miners que se instalan en la máquina de la víctima. Para los primeros, Google ya ejecutó una solución para bloquearlos. Para los segundos, aún no hay una solución, incluso suelen combinarse con otras amenazas, como RATs (herramientas de acceso remoto), Adware o incluso ransomware para aumentar su efectividad y atacan todo tipo de plataformas. Algunos criptominers incluso afectan a los dispositivos móviles, los cuales no están preparados en absoluto para un uso intensivo de su procesamiento, pudiendo llegar a destruirlos totalmente.

 

Si bien no tenemos que preocuparnos por la disponibilidad de nuestros datos a diferencia de lo que nos pasaba con los ransomware, hay que tener en cuenta que el uso de estas amenazas está en aumento. Un estudio realizado por Microsoft reveló que entre septiembre del 2017 y enero de 2018 hubo en promedio 644.000 computadoras infectadas con criptominers, lo cual demuestra una fuerte tendencia al aumento del uso de los criptominers.

 

Tendremos que estar atentos a esta nueva tendencia, como siempre utilizando las herramientas de seguridad apropiadas, que nos permitan monitorear los accesos y mantener el software actualizado. Y como siempre, contemplando una visión integral de la seguridad de las plataformas que utilizamos.

 

 

(*) Autores:

 

Gabriela Nicolao (gnicolao@deloitte.com)

Es ingeniera en sistemas de información de la Universidad Tecnológica Nacional y trabaja en Deloitte en el área Threat Intelligence & Analytics. Entre sus tareas se destacan los análisis de malware, análisis de trafico de red, respuesta a incidentes de seguridad e investigación de indicadores de compromiso que puedan ayudar a los clientes a defenderse ante una amenaza. Gabriela tiene cinco años de experiencia en el ámbito de la seguridad.

 

Ruth Barbacil (rbarbacil@deloitte.com)

Es estudiante de Ingeniería en Sistemas de Información en la Universidad Tecnológica Nacional y trabaja en Deloitte en el área Threat Intelligence & Analytics. Entre sus tareas se encuentran la investigación y análisis de Tácticas, Técnicas y Procedimientos (TTPs) de amenazas persistentes avanzadas y sus campañas, incidentes y herramientas con el fin de ayudar a la defensa y mitigación de las mismas.