Lo que debes saber sobre el Cryptojacking

El tema de las criptomonedas es muy relevante en la actualidad. Bitcoin cruzó la frontera de los 30 mil dólares por moneda y sigue creciendo, aumentando el número de incidentes relacionados con el cryptojacking. Esta práctica es un esquema de uso de dispositivos de otras personas (ordenadores, teléfonos inteligentes, tabletas o incluso servidores) sin el conocimiento de sus propietarios con el propósito de extraer criptomonedas en secreto.

Al sumar todos estos poderes, los piratas pueden competir con éxito (y lo más importante, sin costos significativos) con los principales actores en el mercado de la minería de criptomonedas.

No es nada nuevo

Este tipo de malware minero tiende a disminuir y aumentar en función de los precios de las criptomonedas. 2018 fue uno de los años más exitosos para el desarrollo y distribución de malware de criptojacking. En 2019, hubo una disminución del 40% a principios de año, seguida de una tasa de infección estable en 2020 con un ligero aumento hasta agosto, algo que sigue al alza en 2021.

Estas tendencias están en línea con el precio de bitcoin durante los últimos tres años. El cryptojacking no se informa en gran medida en la industria de la seguridad, con solo una pequeña fracción de lo que existe debido a la naturaleza del malware involucrado.

Propósito

Su único propósito es calcular números utilizando procesadores de ordenadores y, a menudo, es muy difícil distinguir una secuencia de comandos de software legítima de una secuencia de comandos de criptomineros. Además, el código suele ser tan personalizado e inofensivo que los escáneres de malware lo ignoran.

Ejemplo. La dirección principal del robo de criptomonedas es la moneda criptográfica Monero. Un procesador promedio como el Intel i5 puede procesar alrededor de 500 hashes por segundo en la red Monero. Los servidores tienen muchos procesadores, por lo que son un objetivo más lucrativo que los dispositivos de IoT, pero éstos son objetivos más numerosos y, a menudo, más suaves (todos los objetivos, incluidos los dispositivos de IoT, navegadores web, teléfonos móviles, etc.)

A los precios actuales, Monero tiene una tasa de hash de alrededor de 0,30 dólares por semana por procesador durante la minería. Podemos decir que es una cantidad exigua, pero veámoslo desde otro punto de vista.

Un ataque de secuencias de comandos entre sitios en la búsqueda de Google puede afectar a 6 mil millones de dispositivos en un día. Hoy en día hay alrededor de 20 mil millones de dispositivos conectados a Internet. Incluso alguien que pueda infectar 10,000 de 20 mil millones de copias (0.00005%) puede ganar 2,100 dólares a la semana.

Entonces surge la pregunta: ¿quién y cómo puede infectar sin que nadie se dé cuenta, por ejemplo, 10.000 hosts? La forma más sencilla es encontrar automáticamente software vulnerable. La ejecución de código ha sido la categoría de vulnerabilidad más prevalente en los últimos tres años.

Cross-site scripting y Lazarus

Cross-site scripting (XSS) fue la vulnerabilidad número 1 reportada a través de HackerOne en 2019. Si hablamos de posibles ejecutantes de estos ataques. El mismo Lázaro (hackers progubernamentales de Corea del Norte).

Según los expertos de Group-IB, Lazarus está instalando mineros de forma activa en los ordenadores infectados. Llegó al punto de la ridiculez: las computadoras, que son el punto de entrada a la red comprometida del banco atacado, también extrajeron criptomonedas para Lazarus.

Hay tres razones por las que el cryptojacking es común: no requiere permisos elevados, es independiente de la plataforma y rara vez ejecuta software antivirus. Además el código suele ser lo suficientemente pequeño como para insertarse discretamente en bibliotecas de código abierto de las que dependen otras plataformas.

Lenguaje

También se puede configurar para ‘hacer un túnel’ según el dispositivo, y también puede utilizar variantes de DNS cifrado para evitar despertar sospechas. El cryptojacking también se puede construir para casi cualquier contexto y en cualquier lenguaje como JavaScript, Go, Ruby, Shell, Python, PowerShell, etc.

Siempre que el programa malicioso tenga derecho a ejecutar comandos locales, puede utilizar la potencia de procesamiento del procesador y lanzar la minería de criptomonedas. Además de los sistemas completos, los criptomineros pueden funcionar con éxito en entornos pequeños como contenedores Docker, clústeres de Kubernetes y dispositivos móviles.