Definición

A medida que las criptomonedas van adquiriendo más valor, se vuelven más atractivas para los atacantes que crean malware para robárselas a determinados usuarios objetivo. La generación de criptomonedas requiere de la utilización de recursos de cómputo para resolver problemas matemáticos. Mientras más recursos se tengan, más criptomonedas se podrán generar. El proceso conocido como cryptojacking (o criptosecuestro) consiste en engañar a los usuarios y utilizar sin su consentimiento sus ordenadores y dispositivos móviles para generar criptomonedas para un atacante. Este malware o virus minador es un proceso que se queda en segundo plano y que roba recursos de cómputo, afectando negativamente al rendimiento de los procesos legítimos.

¿Cómo funciona?

La generación de criptomonedas se conoce como cryptomining, que es el proceso de crear o minar criptomonedas. Los mineros compiten entre sí intentando resolver problemas matemáticos antes que los demás. El minero que primero resuelve el problema recibe criptomonedas a cambio, y el valor de estas se agrega a la cadena de bloques (blockchain). La cadena de bloques es un libro de contabilidad que va adjuntando nuevos bloques a la cadena a medida que los usuarios van generando más monedas, las gastan y las transfieren. La tecnología de blockchain, es una larga cadena de datos que se usa para rastrear criptomonedas y determinar quién es su propietario y cuánto valen.

Para ser la primera persona en resolver un problema matemático, los mineros necesitan abundantes recursos de cómputo. Antes de que las criptomonedas se volvieran populares, un usuario casero en un ordenador de sobremesa con una tarjeta de vídeo potente podía minar criptomonedas, pero ahora es necesario tener grandes “granjas de minería” para generar criptomonedas a una frecuencia lo suficientemente elevada como para compensar al minero por su tiempo y cubrir el coste de la electricidad necesaria para operar el equipo.

Una manera legítima de minar criptomonedas es a través de la creación de una “granja” de ordenadores junto con un grupo de personas, y así compartir las recompensas obtenidas. En un ataque de cryptojacking, un atacante usa malware o páginas de JavaScript malintencionadas para usar ordenadores externos para que minen criptomonedas para el atacante. Este virus minador instalado en el ordenador de un usuario mina criptomonedas de manera furtiva y las transfiere a la cuenta del atacante o hacker. El malware local es mucho más persistente que los ataques de JavaScript, porque hay que eliminarlo del ordenador para que se detenga. Los ataques de JavaScript usan los recursos de cómputo de los usuarios conectados a una página web. Una vez que se cierra la página, estos recursos de cómputo quedan liberados.

Con los virus minadores, los atacantes suelen usar keyloggers y rastreadores de portapapeles para obtener la clave privada del usuario objetivo. La clave privada de un usuario es similar a una contraseña que brinda acceso a la cuenta de criptomonedas del usuario. Cuando un atacante obtiene la clave privada, puede “limpiar” de criptomonedas la cuenta del usuario y transferir los fondos a la cuenta de un atacante. Estos ataques pueden costarles a los usuarios millones en criptomonedas si no se protegen adecuadamente.

Cómo detectarlo

Un buen malware de cryptojacking autorregula su consumo de recursos para evitar que lo detecten, pero la mayoría de los atacantes utilizan tantos recursos como sea posible en el ordenador hasta que se elimina el malware. Si su ordenador presenta un uso elevado de la CPU y la memoria, incluso cuando hay pocos programas en ejecución, es posible que esté siendo víctima de cryptojacking. Los picos en el uso de sus recursos ralentizan su ordenador y afectan al rendimiento de la actividad normal de su computadora. La herramienta de gestión de tareas de Windows le permite ver el uso de sus recursos. Haga clic derecho en la barra de tareas y elija “Administrador de tareas” para abrir la herramienta. Haga clic en la pestaña “Rendimiento”.

En la imagen se muestra el nivel de uso de la CPU. Si hubiese un pico de más del 90% de uso del CPU de su computadora con muy pocos programas en ejecución, esto podría indicar que se está ejecutando un malware de cryptojacking en segundo plano. Con el cryptojacking, la utilización de memoria también se dispararía. Además de un uso elevado de los recursos del sistema, otra posible señal es el sobrecalentamiento.

En el caso de los malwares conocidos de cryptojacking, el software antivirus los suele detectar antes de que el malware se ejecute en el ordenador local. Los programas antimalware también se han vuelto más eficaces para detectar páginas web malintencionadas, incluyendo aquellas que contienen código de cryptojacking de JavaScript.

Imagen de panel de uso de la CPU para identificar rendimiento y posibles casos de cryptojacking

Ejemplos de cryptojacking

El cryptojacking no es tan común ahora como lo fue durante el auge de popularidad de las criptomonedas. Los atacantes sagaces infectan páginas web populares con virus minadores, porque mientras más visitantes tenga el sitio, más recursos adicionales tendrán ellos a su disposición. En 2017, los investigadores encontraron que la página de streaming online Showtime contenía este tipo de malware. En febrero de 2018, otro equipo de investigadores encontró evidencias de cryptojacking en la página web del periódico Los Ángeles Times.

La cantidad de dinero generada a partir del cryptojacking es desconocida, pero los investigadores estiman que podría cifrarse en millones de dólares. En 2018, un grupo de investigadores estimó que la botnet de criptominería llamada Smominru logró generar 3,6 millones de USD en criptomonedas infectando aproximadamente 500.000 dispositivos.

El robo de credenciales también es un método popular para obtener acceso a un sistema e instalar procesos en segundo plano que roban criptomonedas. El malware PowerGhost roba credenciales de Windows y después usa el popular “exploit” EternalBlue para diseminarse a otros equipos Windows. Intenta desactivar el software antivirus junto con cualquier otro software de “cryptomining” (criptominería).

El gusano de criptominería llamado “Graboid”, se propaga en los containers de Docker abiertos a la internet pública sin autenticación. Posteriormente, el Graboid usa recursos de Docker para minar criptomonedas. Se estima que el Graboid ha infectado a más de 2000 containers de Docker.

Un sofisticado software de cryptojacking autorregula su uso de los recursos. MinerGate está programado para dejar de funcionar cuando un usuario está activo en el escritorio local. Al apagarse durante los períodos de actividad, es mucho menos probable que los usuarios puedan detectar el malware en el sistema, lo que deja activo al MinerGate durante más tiempo en más equipos.

A través de repositorios de GitHub de código abierto, los atacantes logran inyectar código de cryptojacking en software populares. El atacante bifurca el software para que parezca como si estuviera haciendo un cambio legítimo en el repositorio de código. Solo hacen falta unas pocas líneas de código para añadir el cryptojacking, que se puede esconder fácilmente entre otros cientos de líneas de código. Cuando los usuarios descargan la nueva versión del software, el virus minador se propaga a (potencialmente) miles de equipos, incluyendo servidores de corporaciones con enormes recursos de cómputo.

Cómo evitarlo

La manera más efectiva de evitar el cryptojacking es evitar la instalación de malware en su dispositivo. Si usted descarga archivos ejecutables malintencionados, un buen software antivirus debería evitar que el malware se ejecute, pero este método no es confiable para todo el cryptojacking. El software de día cero está codificado para evadir cualquier tipo de detección y hasta para desactivar antivirus para evitar que se elimine.

Para las organizaciones es posible monitorizar el tráfico saliente de malware. Se pueden usar cortafuegos para detener el tráfico saliente cuando el malware intenta conectarse con un servidor externo. Cuando se detecta tráfico sospechoso, el software de monitoreo debe enviar una notificación a los administradores para que verifiquen una potencial filtración de datos.

En páginas web que contengan cryptojacking, simplemente cerrar la página resuelve el problema. El uso de recursos se dispara en las páginas con virus minadores, de modo que es capaz de colgar un ordenador antes de que los recursos se agoten. Sin embargo, cerrar la pestaña del navegador que podría estar causando la fuga de recursos, detendrá al malware, y su dispositivo regresará a su nivel de uso anterior.

Guía del CISO para presupuestos de ciberseguridad

Como CISO, su presupuesto de ciberseguridad debe cubrir los riesgos de ciberseguridad crecientes, la evolución de las normativas y un cambio radical en los modelos de trabajo.

Libro blanco: Protegiendo al usuario final

Invertimos más que nunca en ciberseguridad, pero los ataques siguen llegando y poniendo en riesgo los datos confidenciales, los activos y la reputación de la marca de empresas en todo el mundo.

Control de amenazas informáticas con Threat Response

Proofpoint Threat Response elimina el trabajo manual y las conjeturas de la respuesta a incidentes para ayudarle a resolver las amenazas de seguridad con mayor rapidez y eficiencia.