¿Qué es el cryptojacking y cómo funciona?

El cryptojacking es cuando un pirata informático usa la computadora de escritorio o la computadora portátil de una víctima para generar criptomonedas. Esto sucede cuando la víctima, sin darse cuenta, instala un código malicioso que permite que un ciberdelincuente acceda a su dispositivo.

Esto puede suceder cuando una víctima hace clic en un enlace desconocido en una página web o en un correo electrónico de phishing. Luego, el ciberdelincuente usa este malware, conocido como minero de monedas, para extraer criptomonedas.

Las criptomonedas son monedas digitales, por lo que el hacker solo necesita malware y el dispositivo de la víctima para minarlas.

¿Cómo funciona el criptojacking?

Los ciberdelincuentes tienen varios medios para hacer que la computadora de una víctima comience a minar criptomonedas.

El primero es engañar a las víctimas para que carguen el código de criptominería en sus PC, a menudo a través de un correo electrónico de phishing.

La víctima recibe un correo electrónico de aspecto legítimo que le insta a hacer clic en un enlace. Luego, el enlace ejecuta un script en la computadora que extrae criptomonedas en segundo plano sin que la víctima lo sepa.

El segundo método es colocar un script en un sitio web o un anuncio entregado a varios sitios web. Cuando una víctima visita un sitio web afectado o hace clic en un anuncio infectado, el script se ejecuta automáticamente.

De cualquier manera, el código no se almacena en el dispositivo de la víctima; todo lo que hace es ejecutar problemas matemáticos complejos y envía los resultados a un servidor bajo el control del ciberdelincuente.

Algunos scripts tienen habilidades similares a las de los gusanos, por lo que pueden infectar más dispositivos en la misma red, lo que maximiza los beneficios para el hacker. Esto también hace que sea más difícil de quitar.

Según los investigadores de seguridad de AT&T, estos gusanos también pueden cambiar sus scripts para ejecutarse en diferentes arquitecturas informáticas, como x86, x86-64 y aarch64. Los piratas informáticos recorren diferentes scripts hasta que uno funciona. Luego, un trabajo cron asegura que la secuencia de comandos tendrá persistencia en un dispositivo o eliminará la secuencia de comandos si se detecta.

Los scripts de criptominería también pueden verificar si otro malware de criptominería de la competencia ha estado criptosecuestrando un dispositivo. Si detecta otros scripts, puede deshabilitarlos para ejecutar su script en su lugar.

¿Por qué el cryptojacking es un problema?

El cryptojacking parece un delito sin víctimas, ya que no se daña la computadora de la víctima y no se roban datos.

Lo que se roba son los recursos disponibles para una computadora en términos de ciclos de CPU o GPU. Usar el poder de cómputo de esta manera es criminal y se hace sin el conocimiento o consentimiento de la víctima para beneficiar al hacker que luego gana dinero con esta actividad.

Si bien un individuo puede estar molesto con una computadora más lenta, las empresas pueden incurrir en costos derivados de los tickets de la mesa de ayuda y el tiempo de soporte de TI para encontrar y solucionar problemas con computadoras lentas. También puede generar facturas de electricidad mucho más altas para las empresas afectadas.

¿Por qué es popular el cryptojacking?

El cryptojacking es un fenómeno reciente en comparación con otros delitos cibernéticos, ya que saltó a la fama en 2017 cuando el valor de Bitcoin aumentaba rápidamente.

Uno de los primeros servicios de cryptojacking fue Coinhive. Esta era una colección de archivos JavaScript que ofrecían a los propietarios de sitios web un medio para ganar dinero con sus visitantes. En marzo de 2019, Coinhive finalizó sus servicios para siempre, pero aún existen otras versiones en Internet.

El número de ataques parece seguir el valor de la criptomoneda. Según un informe de Enisa, hubo un aumento interanual del 30 % en el número de incidentes de cryptojacking en 2020. 

El mismo informe dijo que Monero (XMR) era la criptomoneda elegida para las actividades de cryptojacking de 2019 debido a su enfoque en la privacidad y el anonimato. Esto significa que las transacciones de Modero no se pueden rastrear. Además, Monero diseñó su algoritmo de prueba de trabajo para que la minería sea viable con una CPU estándar en lugar de hardware especializado. Este algoritmo de minería resistente a ASIC lo hace perfecto para máquinas infectadas con malware de cryptojacking.

En general, el cryptojacking es popular porque no necesita una conexión a un servidor de comando y control operado por el pirata informático. También puede pasar desapercibido durante mucho tiempo, por lo que los piratas informáticos pueden ganar dinero de forma anónima sin temor a que las fuerzas del orden llamen a sus puertas.

Otra motivación es el dinero:el cryptojacking es barato. Según un informe de Digital Shadows, los kits para comenzar con el cryptojacking cuestan tan solo $30. En una campaña, los piratas informáticos ganaron hasta $ 10,000 por día con la minería criptográfica.

¿Cuáles son algunos ejemplos reales de cryptojacking?

En 2019, varias aplicaciones que extraían criptomonedas en secreto con los recursos de quien las descargó fueron expulsadas de Microsoft Store. Las víctimas potenciales encontrarían las aplicaciones a través de búsquedas de palabras clave dentro de Microsoft Store. Cuando se descargaron, las aplicaciones también descargaron código JavaScript de cryptojacking para minar Monero.

En 2018, se encontró un código de cryptojacking oculto en la página Informe de homicidios de Los Angeles Times. Esto también extrajo Monero.

Otra víctima de alto perfil del cryptojacking fue Tesla. Una investigación realizada por la firma de seguridad cibernética Redlock descubrió que los piratas informáticos se habían infiltrado en la consola Kubernetes de Tesla, que no estaba protegida con contraseña. Instalaron el software de grupo de minería y configuraron el script malicioso para conectarse a un punto final "no listado" o semipúblico.

En 2018, Trend Micro observó que un grupo de piratas informáticos, al que llamó Outlaw, intentaba ejecutar un script en uno de los honeypots de IoT de Trend Micro. A fines del mismo año, los piratas informáticos tenían bajo su control más de 180 000 hosts comprometidos.

En 2020, Palo Alto Networks descubrió un esquema de cryptojacking que usaba imágenes de Docker para instalar software de criptominería en los sistemas de las víctimas. Los ciberdelincuentes insertaron código dentro de las imágenes de Docker para evitar ser detectados. Las imágenes infectadas ayudaron a los delincuentes a extraer criptomonedas por un valor estimado de $36 000.

¿Cuáles son algunos programas maliciosos criptojacking conocidos?

Hay bastantes ejemplos de malware de cryptojacking. Algunos ejemplos incluyen:

• Smominru: Este cryptojacker compromete las máquinas de Windows utilizando un exploit EternalBlue y fuerza bruta en varios servicios, incluidos MS-SQL, RDP, Telnet y muchos otros.
• Badshell :utiliza técnicas sin archivos y se oculta en los procesos de Windows.
• Colmena de monedas :Esta era una herramienta legítima de monetización de sitios web, pero es la mayor amenaza de cryptojacking del mundo.
• Miner masivo :Este es un malware de minería de criptomonedas que ha sido detectado usando capacidades similares a las de un gusano para propagarse a través de múltiples exploits.

¿Cómo saber si eres víctima de cryptojacking?

El cryptojacking es prácticamente indetectable en la mayoría de los casos. Sin embargo, hay algunas señales de que su computadora podría ser una víctima, incluido el calentamiento de la computadora, los ruidos fuertes del ventilador, el agotamiento de las baterías más rápido de lo normal, la disminución del rendimiento y el apagado debido a la falta de potencia de procesamiento disponible.

Debería considerar cerrar y bloquear cualquier sitio web sospechoso de ejecutar scripts de cryptojacking si observa estos síntomas. También debe actualizar o eliminar cualquier extensión de navegador cuestionable.

¿Puedes evitar que tus dispositivos sean víctimas de cryptojacking?

Siempre es mejor prevenir que curar, y hay algunas cosas que los usuarios pueden hacer para evitar que sus máquinas sucumban a un incidente de cryptojacking.

Entre ellos se encuentra la instalación de un bloqueador de anuncios, ya que la mayoría de ellos pueden evitar los scripts de cryptojacking. También debe mantener sus sistemas actualizados con el software y los parches más recientes para su sistema operativo y todas las aplicaciones, especialmente los navegadores web. Muchos ataques explotan fallas conocidas en el software existente.

Las organizaciones pueden hacer una lista de URL/IP de sitios de cryptojacking infectados y dominios de grupos de criptominería para bloquear. También pueden implementar la supervisión del sistema de red para identificar el uso excesivo de recursos.