Como muestra nuestro reciente estudio, a pesar de la caída en el precio de muchas criptomonedas y la decisión de una de las más importantes, Ethereum, de alejarse de la minería, los mineros maliciosos continúan amenazando a las empresas, quedando especialmente expuestas las que usan infraestructura en la nube. Exploramos los peligros de la minería y cómo proteger los recursos informáticos de una empresa.
La minería está muerta. Larga vida a la minería
Muchos ya predijeron el final de la minería después del anuncio de Ethereum en el que afirmaba que pasaría de confirmar transacciones utilizando el método de prueba de trabajo al modelo de prueba de apuesta. El primero requiere una gran potencia informática, mientras que el segundo necesita muchos menos participantes y recursos para confirmar una transacción: es unas mil veces más eficiente desde el punto de vista informático. El abandono del concepto de prueba de trabajo, en teoría, podría haber disminuido significativamente la popularidad de la minería.
Este cambio tan esperado se llevó a cabo el 15 de septiembre y, en cierta medida, sí que afectó a la popularidad de la minería. Por ejemplo, el precio de las tarjetas gráficas utilizadas para la extracción de Etherium cayó bruscamente cuando inundaron el mercado secundario. Los que se dedican a la minería legal comenzaron a cambiar a la minería de otras criptomonedas, a vender sus sistemas informáticos o a encontrar otros usos. Sin embargo, esta disminución de la actividad no se extiende a los atacantes que minan a expensas de otros.
Pero lo cierto es que nunca se han centrado mucho en extraer Etherium, siendo solo su tercera moneda más popular, ya que siempre han preferido minar Monero, que garantiza el total anonimato de las transacciones. Para producir Monero, también es necesaria la minería, pero no las tarjetas gráficas. Esta criptomoneda se extrae mejor en CPU ordinarias que, a diferencia de las potentes unidades de procesamiento gráfico, se encuentran en cualquier ordenador. Las más poderosos se ejecutan en servidores, por ello suelen atraer tanto a los atacantes.
Cómo amenazan los mineros a las empresas
Ya hemos hablado en otras ocasiones sobre los problemas que los mineros pueden causar a un usuario particular:
– Facturas eléctricas elevadas.
– Un rendimiento más lento debido a la alta carga en la CPU y la tarjeta gráfica.
Puede parecer que hacemos una montaña de un grano de arena, ya que, de todos modos, muchos mantienen sus ordenadores encendidos todo el tiempo, y la mayoría de los usuarios pueden soportar las ralentizaciones. Pero para las empresas las amenazas son mucho peores. Además de lo anterior, los mineros de criptomonedas no deseados pueden provocar:
- Un desgaste acelerado de los equipos, lo que provoca errores prematuros (también afecta a particulares, aunque mucho más a las empresas).
- Un aumento en la carga de los servidores de la empresa que, al igual que un ataque DDOS, puede desconectar los servicios; la alteración de la disponibilidad o el funcionamiento inestable de estos servicios supone pérdidas.
- Mayores costes en el mantenimiento de la infraestructura en la nube; cuando a final de mes Amazon, Google o Microsoft agregan un cero a la factura, pueden causar estragos en el balance de la empresa. Según este informe de Google, en el 86 % de los casos exitosos en el compromiso de una cuenta de la plataforma Google Cloud, los atacantes instalaron mineros. A su vez, los costes por minar criptomonedas en la infraestructura de la nube son 53 veces más altos de media que la recompensa, lo que, por supuesto, no detiene a los ciberdelincuentes, ya que no son ellos los que corren con los gastos.
Los mineros aterrorizan a los proveedores de infraestructuras
Los ataques mineros representan la peor amenaza para las empresas que no solo utilizan la infraestructura en la nube, sino que también brindan a sus clientes servicios basados en la nube de los principales proveedores. Y especialmente si proporcionan IaaS (infraestructura como servicio) o PaaS (plataforma como servicio).
La diferencia entre estas empresas y el resto es que deberían preocuparse no solo de que los mineros malintencionados penetren en la infraestructura de forma encubierta, sino también de los regulares y legítimos.
Si una empresa proporciona infraestructura o una plataforma como servicio, sus clientes tienen cierto grado de libertad para usar esa infraestructura o plataforma: generalmente pueden usarla como les plazca, incluso ejecutar varias aplicaciones, entre ellas, los mineros.
Por tanto, no es raro que los ciberdelincuentes creen varias cuentas en dichos servicios a la vez y las usen para ejecutar mineros sin dejar que consuman más recursos de los que proporciona el servicio con una cuenta gratuita. Un ataque de este tipo que involucre a cientos de cuentas puede generar una carga monstruosa en los servidores, dejando el servicio inestable y aumentando enormemente los gastos de infraestructura de la empresa. Además, puede resultar más difícil para un proveedor de infraestructura detectar un ataque de este tipo que, por ejemplo, una empresa SaaS, ya que no siempre puede ver todos los procesos ejecutados por los clientes debido a su propia política de privacidad.
Cómo pueden tratar las empresas con los mineros
Teniendo esto en cuenta, las empresas no pueden simplemente hacer la vista gorda ante la amenaza de la minería. Lo ideal sería prevenirla en primer lugar; pero si no, debe ser detectado y detenido lo antes posible.
Según otros datos de Google, la mayoría de los casos de compromiso del servidor se deben al uso de contraseñas débiles y a un control de acceso insuficiente. Por lo tanto, el foco debe estar puesto en el acceso a los recursos informáticos:
- Establece contraseñas seguras y únicas en todas partes.
- Habilita siempre la autenticación en dos pasos para acceder a los recursos de los proveedores de la nube (de esta forma, si la contraseña se filtra o se consigue por fuerza bruta, los atacantes no obtendrán el control de la cuenta sin el segundo paso).
- Restringe el acceso a la gestión de la infraestructura: cuantos menos empleados tengan privilegios de acceso elevados, menos probabilidades habrá de que el acceso se vea comprometido.
- Utiliza soluciones de seguridad que detecten actividades sospechosas tanto en dispositivos físicos como en equipos virtuales.
Los proveedores de IaaS y PaaS, además de lo anterior, deben:
- Tener la capacidad de monitorizar la actividad del usuario de una forma u otra; si no es posible supervisar los procesos activos a nivel del equipo virtual (evitando la ejecución de scripts idénticos por parte de diferentes usuarios), al menos asegúrate de que cuentas diferentes no utilicen el mismo repositorio.
- Contar con un sistema de alerta bien adaptado a actividades atípicas e involucrar a expertos que puedan responder rápidamente.
- Prestar mayor atención a la corrección oportuna de las vulnerabilidades en el software de la infraestructura o la plataforma, ya que los atacantes pueden explotarlas para hackear e instalar mineros.