Adoptar el enfoque adecuado frente a este tipo de amenazas
El minado de criptomonedas ha crecido de manera considerable en los últimos años. Acorde a reportes de especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, uno de cada 500 sitios (de una lista del millón de sitios web más visitados) contiene scripts para minar sin el consentimiento del usuario, en lo que se conoce como cryptojacking.
El cryptojacking puede generar consecuencias desastrosas para sus víctimas, como el desgaste y muerte de las computadoras y teléfonos inteligentes infectados, debido a la sobrecarga del CPU, explotándolo más allá de sus capacidades, además de incrementos desmedidos en el cobro de energía eléctrica. Un dispositivo atacado con cryptojacking ve reducida su productividad (incluso sus operaciones críticas) a medida que el rendimiento del sistema se degrada considerablemente. Este ataque también podría comprometer la seguridad de los datos confidenciales resguardados en los sistemas afectados.
Algunos especialistas en forense digital consideran que lo más atemorizante del cryptojacking es que puede pasar inadvertido por largos periodos de tiempo. Cualquier endpoint está en riesgo, por lo que vale la pena preguntarse: ¿cómo proteger nuestros endpoints de los efectos del cryptojacking?
¿Por qué los cibercriminales se sienten tan tentados a llevar a cabo ataques de cryptojacking? A diferencia del ransomware, el minado de criptomoneda es más sigiloso y puede ser muy difícil de detectar, además elimina la molestia de solicitar un rescate a las víctimas. El minado puede representar para los hackers una fuente de ingresos constante, especialmente cuando miles de sistemas son atacados en conjunto.
Un dispositivo promedio puede generar alrededor de 0.25 dólares al día. Puede que no parezca mucho, pero esa cifra cambia cuando se atacan sistemas de forma masiva. Las ganancias aumentan según el hash rate (la velocidad a la que opera una máquina minera determinada) y el aumento en el consumo de energía eléctrica. En una campaña de cryptojacking analizada por una firma de forense digital, los atacantes generaban alrededor de 704 dólares diarios (257 mil dólares en un año) utilizando endpoints vulnerables. Otras cinco campañas relacionadas fueron descubiertas en simultáneo, acumulando un total de más de un millón de dólares. Dada la poca conciencia sobre esta clase de problemas, es muy probable que estas campañas masivas de ataque continúen presentándose en el futuro.
Vectores de ataque
Email: En el pasado un atacante lanzó una campaña vía email falsificando una solicitud de empleo. El email contenía un documento de Word que parecía ser un CV, lo que llevó a las víctimas a habilitar el contenido de macros, con lo que se iniciaba la descarga del software de minado de Monero.
Exploits: Se ha visto que los hackers aprovechas las vulnerabilidades en desarrollos como Adobe Flash, mientras que otras utilizan canales de entrega de malware como smokeloader. Lo más significativo de este exploit es su capacidad para ejecutarse durante meses (incluso años) en sistemas infectados. Además, exploits conocidos, como EternalBlue, utilizado para explotar vulnerabilidades en PYMES para la conocida campaña WannaCry, ahora se están utilizando para desplegar software de cryptojacking.
Otras variantes: Los hackers también recurren a otras vías de infección como la inyección de código mediante la explotación de las vulnerabilidades de complementos del navegador, procesos confiables del sistema y los sitios web que incorporan JavaScript. Esto permite la minería mientras se usa el navegador.
Evitemos ser víctimas del cryptojacking
Especialistas en forense digital brindan algunos consejos para abordar este problema de la mejor manera posible.
Prevenir: Bloquear y prevenir amenazas de minería difíciles de detectar antes de que lleguen a sus endpoints es esencial. Esto es posible aprovechando varios motores preventivos que van más allá del antivirus tradicional, y aplicando capacidades avanzadas como la prevención de explotación, y el sandboxing avanzado.
Detectar: Sabemos que el peligro no se puede evitar por completo. Por lo tanto, es importante tener visibilidad de lo que sucede después de que un archivo haya ingresado con éxito en su entorno. Esto es posible supervisando y analizando continuamente la actividad de línea de comandos, archivos y procesos en cada endpoint.
Responder: Cuando el cryptojacking es detectado, es forzoso responder rápidamente para contener la amenaza. Las respuestas automatizadas bloquean las conexiones maliciosas que emanan de todos los endpoints. Este enfoque minimiza los riesgos de cualquier daño colateral.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad