La minería maliciosa de criptomonedas, es un tipo de delito informático en el que un delincuente utiliza la capacidad de procesamiento del dispositivo de la víctima sin su conocimiento o consentimiento para generar criptomonedas. Su impacto principal está relacionado directamente con el rendimiento, aunque también puede aumentar los costes de electricidad.
El criptojacking a menudo pasa desapercibido, pero a diferencia de otros tipos de ciberataque (excepto algunos tipos de rootkits), puede llegar a dañar el hardware de los dispositivos de las víctimas.
También es posible que desactive el antivirus y abra algunos puertos para comunicarse con su infraestructura de comando y control.
Un consumo excesivo de la batería del teléfono móvil, muchas veces el sobrecalentamiento del dispositivo, y un mayor uso del procesador también podrían ser una señal casi inequívoca de que un sistema se ha visto comprometido.
Criptojacking basado en el navegador
Hace cosa de un par de años, el criptojacking que explotaba el navegador web de los usuarios se convirtió en una de las formas más comunes de este tipo de ciberataque.
Pero desde que los desarrolladores de navegadores como Mozilla o Google comenzaron a implementar funciones de seguridad para detectar y bloquear este tipo de operaciones, algunos lo consideran muerto hace mucho tiempo, y no se espera su regreso al completo.
Sin embargo, siempre que las criptomonedas tengan una gran demanda en el mercado, el cryptojacking será un riesgo para los navegadores.
Estas aplicaciones permiten al perpetrador extraer criptomonedas sin ni siquiera poseer los recursos necesarios.
Por lo tanto, no podemos descartar nada.
Como funciona
Los villanos buscan constantemente sitios web vulnerables porque saben que en ellos es más fácil incrustar código malicioso de minería de cifrado.
Cualquier servicio basado en JavaScript es susceptible de ser explotado y si un ataque de criptojacking pasa desapercibido seguramente también lo harán otros exploits igual de infames.
- El atacante inyecta un script malicioso en una página web.
- Varios usuarios visitan el portal comprometido mediante sus respectivos navegadores.
- El código malicioso se ejecuta en segundo plano y de manera sigilosa en las máquinas de esos visitantes y empieza a minar criptomonedas.
- Los recursos robados se consumen según las necesidades del ciberdelincuente.
Servicios de seguridad en línea gratuitos como VirusTotal, Scan My Server, Qualys FreeScan, Quttera Scan ,Observatory, o Sucuri son extremadamente útiles para analizar una página web en busca de código malicioso.
Criptojacking basado en archivos
La minería de criptomonedas implica tener que resolver ecuaciones matemáticas cada vez más complejas, un proceso que exige una gran cantidad de potencia informática.
De hecho, la mayoría de los ataques de criptojacking aprovechan casi por completo la CPU de la víctima, lo que hace que el dispositivo se ralentice, se caliente y en el caso de los ordenadores de sobremesa aumente el gasto de electricidad.
El pirata informático se embolsa la pasta y a cambio le deja a las víctimas una gran factura de la luz.Algo parecido a pagar una fiesta a la que no estan invitados.
Con el cryptojacking basado en archivos, mediante un ejecutable, el villano instala un script de criptominería directamente en el dispositivo de la víctima.
Una de las formas más comunes en que se difunde el código malicioso es mediante ataques de phishing perpetrados por medio de correos electrónicos.
- Se envía un correo electrónico que contiene un archivo adjunto o un enlace que parece legítimo.
- Cuando un usuario hace clic en el archivo adjunto o pulsa en el enlace, se ejecuta un código que descarga el script de criptominería en el dispositivo.
Este código se ejecuta subrepticiamente en segundo plano, lo que significa que puede pasar una cantidad significativa de tiempo antes de que las personas se den cuenta de que sus dispositivos han sido comprometidos.
Mientras el código permanece oculto, el criptojacker comenzará a trabajar las 24 horas del día para extraer criptomonedas.
Criptojacking en la nube
Hoy en día, los recursos basados en la nube suelen ser el foco principal de los piratas informáticos que buscan minar criptomonedas.
En particular, las plataformas de infraestructura como servicio (IaaS) están siendo atacadas porque ofrecen recursos virtualmente infinitos y un entorno donde los atacantes pueden operar bajo el radar.
Está dirigido a las empresas que utilizan servicios de almacenamiento en la nube como AWS, Azure y Google Cloud, que no llevan a cabo buenas prácticas de seguridad.
Para ello buscan claves API (no son tan seguras como los tokens de autenticación) en los archivos y el código de una organización para acceder a sus servicios en la nube.
Sus actividades pueden pasar desapercibidas para el cortafuegos convencional y los sistemas de detección de intrusos al ocultar las direcciones IP de sus programas de minería detrás de una red de distribución de contenido, que básicamente es una red de servidores ubicados en diferentes centros de datos de todo el mundo.
Cómo detectar el criptojacking
Estos son algunos de los métodos que podemos usar para detectar el cryptojacking antes de que sea demasiado tarde.
Disminución del rendimiento
Uno de los principales síntomas del criptojacking es una disminución en el rendimiento de los dispositivos informáticos.
Esto incluye tanto ordenadores de escritorio como portátiles, tablets y dispositivos móviles.
Calentamiento excesivo
El proceso de criptojacking, que consume muchos recursos, puede hacer que los dispositivos informáticos se sobrecalienten.
Esto puede provocar daños o acortar su vida útil.
Cuando los ventiladores funcionan más de lo debido en un intento de enfriar el sistema, pero estamos realizando un uso razonable del dispositivo, hay que sospechar de que algo está pasando.
Verificar el uso de la CPU
Esto se puede hacer empleando el Monitor de actividad o el Administrador de tareas.
Un aumento significativo e injustificado del consumo de la CPU, es una señal de alarma de que pueden estar ejecutándose scripts de criptominería.
Conclusión
Los ciberdelincuentes siempre están modificando el código y creando nuevos métodos de entrega para incrustar scripts maliciosos en aplicaciones web y en nuestros sistemas informáticos.
Ser proactivos y estar al tanto de las últimas tendencias puede ayudarnos a detectar el criptojacking en nuestra red y dispositivos.
- CoinDesk – CoinDesk es una de las principales fuentes de información actualizada sobre criptomonedas, tecnología blockchain y riesgos de seguridad.
- TodayOnChain – TodayOnChain proporciona información confiable sobre diferentes tipos de criptomonedas y riesgos de seguridad.
- CryptoSlate – CryptoSlate se actualiza periódicamente con artículos relacionados con las criptomonedas y blockchain, incluidas las últimas noticias y tendencias.
Para bloquear criptomineros, es posible usar extensiones para el navegador como minerBlock.
Deshabilitar JavaScript puede evitar que el código malicioso infecte el sistema, pero bloqueará muchas de las funciones necesarias para navegar por algunos sitios web.
Además, armarse con una buena VPN es un mecanismo de defensa clave contra los cryptojackers y otros tipos de amenazas digitales.
Las VPN cifran las conexiones a Internet y ocultan las direcciones IP, lo que mantiene a usuarios y organizaciones más seguros en línea.
Y como siempre hay que tener en cuenta a los sospechosos habituales: programas de procedencia desconocida, y enlaces o archivos adjuntos a los correos electrónicos.
