Al reflexionar sobre el 2017 y tratar de averiguar lo que nos deparaba el 2018, predijimos que al ransomware lo reemplazarían los mineros de criptomonedas. Nuestro último estudio demuestra que los mineros no solo han cumplido las expectativas, sino que las han superado.
En los últimos seis meses, los cibercriminales han recaudado más de 7 millones de dólares con los mineros de criptomonedas. Aquí os explicamos cómo funcionan los mineros en los ordenadores de los usuarios, por qué se han convertido en una ciberamenaza grave (sobre todo para las empresas) y cómo puedes proteger tu infraestructura.
La rebelión de los mineros
En 2017, cuando las tasas de cambio del Bitcoin y el resto de altcoins (criptomonedas alternativas) alcanzaron cifras estratosféricas, quedó claro que tener tokens (que se pueden convertir en dinero real) es un negocio lucrativo. Una característica especial de la economía de las criptomonedas es que, al contrario que el dinero real, cualquiera puede generar dinero digital generando la cadena de bloques mediante operaciones matemáticas y beneficiarse de ello (si quieres conocer cómo funcionan las cadenas de bloques, haz clic aquí).
Una regla general de las piscinas de minerías (organizaciones de mineros) es que cuantas más operaciones hagas, más tokens recibes. El único problema es que cuantas más operaciones quieras realizar, más potencia informática necesitas y, por tanto, más electricidad consumirás.
Por ello, se les ocurrió usar los ordenadores de otras personas para minar criptomonedas; después de todo, está en su ADN aprovecharse de las tecnologías de Internet para ganar dinero fácil. Por supuesto, la finalidad es que los ordenadores de las víctimas ejecuten las operaciones sin el conocimiento de los propietarios o administradores. Y, por razones obvias, los ciberdelincuentes son aficionados a las grandes redes corporativas con cientos de ordenadores.
Los ciberdelincuentes se han convertido en unos auténticos expertos, de hecho, en estos momentos, más de 2,7 millones de usuarios de todo el mundo están siendo atacados por “mineros maliciosos” (1,5 veces más que en 2016) y la cifra sigue ascendiendo. A continuación, vamos a profundizar en las tecnologías que usan los atacantes.
Una amenaza oculta
El primer método recoge todas las características tecnológicas empleadas para llevar a cabo ataques APT (amenaza persistente avanzada), que han aparecido a menudo en las campañas de ransomware a gran escala. Estos mismos métodos se usan ahora para distribuir mineros ocultos, por ejemplo, los ataques que usan la vulnerabilidad EternalBlue.
Otro método para instalar un minero oculto en el ordenador de una víctima es convencer al usuario de que descargue un dropper que a su vez descargará el minero. Los cibercriminales suelen atraer a los usuarios para que descarguen el dropper disfrazándolo de anuncio o de una versión gratuita de un producto, también hacen uso de técnicas phishing.
Después de la descarga, el dropper se ejecuta en el ordenador y se instala el minero con una utilidad especial que esconde el minero en el sistema. El paquete puede incluir herramientas de autoarranque y de autoconfiguración que ajustarán la potencia de procesamiento que puede usar el minero según el resto de los programas que haya en ejecución; así, no se ralentiza el sistema y, por tanto, no se levantan sospechas.
Estas herramientas podrían impedir que el usuario cierre el proceso del minero. Si el usuario detecta el minero e intenta inhabilitarlo, el ordenador se reiniciará y, después, el minero seguirá funcionando. La mayoría de los mineros ocultos reutilizan el código de sus homólogos legítimos, lo que complica la detección.
Hay más formas de minar tokens de forma ilegal: los mineros web o los mineros en el navegador. Estos procesos se pueden llevar a cabo por un administrador que incorpora un script minero en el navegador que se ejecuta cuando la víctima visita el sitio o por un ciberdelincuente que haya ganado accesos de administrador al sitio. Mientras que el usuario está en la web, su ordenador construye bloques, de los cuales se beneficia el delincuente que está detrás del script.
¿Cómo se pueden proteger las empresas de los mineros?
Las tecnologías y complejidades de detección actuales contra los ataques sofisticados han causado que los cibercriminales creen botnets con los ordenadores de las víctimas y los usen en mineros ocultos. Está claro que una infraestructura empresarial con una gran cantidad de procesamiento es un objetivo muy atractivo para los ciberdelincuentes. Los dispositivos de tu compañía también podrían estar en riesgo. Por ello, te recomendamos que implementes las siguientes medidas si quieres proteger tu negocio:
- Instala soluciones de seguridad en todos los ordenadores y servidores para evitar ataques.
- Realiza auditorías de seguridad en tu red corporativa de forma regular en busca de anomalías.
- Vigila el Programador de tareas, que podrían usar los intrusos para iniciar procesos maliciosos.
- No pierdas de vista los objetivos menos obvios, como el sistema de gestión de colas, los terminales de punto de venta e incluso las máquinas expendedoras. Un minero que dependa de la vulnerabilidad EternalBlue podría secuestrar estos equipos para minar criptomonedas.
- Usa dispositivos especiales en modo de Denegación por defecto, los protegerá de los mineros y de otras amenazas. Esta funcionalidad puede configurarse con Kaspersky Endpoint Security for Business.