El crecimiento del malware para minar criptomonedas y nuevas tendencias de cryptojacking

Introducción

Los cibercriminales tienden a favorecer las criptomonedas porque proporcionan cierto nivel de anonimato y pueden monetizarse rápidamente. Este interés ha crecido en los últimos años, yendo más allá del deseo de usar las criptodivisas simplemente como método de pago de herramientas y servicios ilícitos. Muchos actores también han intentado aprovechar la creciente popularidad de las criptomonedas, y su consecuente precio creciente, realizando varias operaciones dirigidas hacia ellas. Estas operaciones maliciosas incluyen minado de criptomonedas (también llamado cryptojacking), la recopilación de credenciales de monederos de criptodivisas, actividades de extorsión y el ataque de las casas de cambio de criptomonedas.

FireEye ha observado diferentes tendencias relacionadas con el cryptojacking, incluyendo módulos de minado de criptomonedas a familias de malware populares, un aumento en los ataques para minar, el uso de aplicaciones móviles que contienen código de cryptojacking, su uso como una amenaza para las infraestructuras críticas y distintos mecanismos de distribución.

Interés del mundo underground

FireEye iSIGHT Intelligence ha identificado el interés de los cibercriminales en temas relacionados con el minado de criptomonedas desde al menos 2009 en las comunidades underground. Las palabras clave que obtuvieron volúmenes significativos incluyeron minero (miner), cryptonight, stratum, xmrig y cpuminer. Aunque la búsqueda de ciertas palabras clave no proporcionan contexto, la frecuencia de estas palabras clave relacionadas con el minado muestran un fuerte incremento en conversaciones a principios de 2017. Es probable que al menos una parte de actores prefieren el cryptojacking porque no atrae tanta atención por parte de las fuerzas del orden.

Monero es el rey

La mayoría de las operaciones de cryptojacking recientes se han centrado de forma aplastante en minar Monero, una criptomoneda de código abierto basada en el protocolo CryptoNote, como una bifurcación de Bytecoin. A diferencia de  muchas criptomonedas, Monero usa una tecnología única denominada “firmas ring”, que mezcla aleatoriamente la claves públicas de los usuarios para eliminar la posibilidad de identificar a un usuario en particular, asegurando que no sea rastreable. Monero también emplea un protocolo que genera múltiples direcciones únicas de un solo uso, que sólo pueden ser asociadas con el destinatario del pago y es inviable que sean reveladas a través del análisis de blockchain (cadena de bloques); asegurando que sea imposible que las transacciones de Monero sean vinculadas a alguien, a la vez que también son seguras criptográficamente.

La cadena de bloques de Monero también usa lo que se llama un algoritmo hash criptográfico “memory-hard” (de disco duro) denominado CryptoNight y, a diferencia del algoritmo SHA-256 de Bitcoin, impide el minado del chip ASIC (circuito integrado de aplicación específica). Esta característica es crítica para los desarrolladores de Moneroy permite el minado con CPU para que continúe siendo factible y rentable. Debido a estas características inherentes centradas en la privacidad y la rentabilidad de la minería con CPU, Monero se ha convertido en una opción atractiva para los cibercriminales.

Anuncios underground sobre utilidades para minar

Ya que la mayoría de las utilidades para minar son pequeñas herramientas de código abierto, muchos criminales confían en los crypters, que son herramientas que emplean técnicas de cifrado, ofuscación y manipulación de código para hacer que sean herramientas y malware completamente indetectables.

FireEye ha identificado varios ejemplos de anuncios de herramientas utilizdas usualmente para minar en los foros y mercados underground. Estos anuncios incluyen desde utilidades únicamente para minar a otras combinadas con más funciones como recolectores de credenciales, herramientas de administración remota (RAT), capacidades de propagación por USB y de denegación de servicio distribuido (DDoS).

El coste del cryptojacking

La presencia del software de minado en una red puede genera costes en tres frentes diferentes a medida que este software distribuye los recursos subrepticiamente:

• Deterioro del rendimiento del sistema
• Aumento de costes de electricidad
• Exposición potencial a agujeros de seguridad

El cryptojacking (uso no autorizado de un dispositivo para minar criptomonedas) ataca la capadidad de procesamiento de los ordenadores, lo que puede conducir a una gran carga de la CPU y un deterioro del rendimiento. En casos extremos, la sobrecarga de la CPU puede incluso dañar el sistema operativo. Las máquinas infectadas también pueden intentar infectar a los equipos cercanos y por tanto generar un gran tráfico que puede sobrecargar las redes de ordenadores de las víctimas.

En el caso de las redes de tecnología operativa (OT) las consecuencias pueden ser graves. Los entornos SCADA y de sistemas de control industrial (ICS) confían en su mayoría en hardware de hace varias décadas y redes de bajo ancho de banda, por tanto incluso un ligero aumento en la carga de la CPU o en la red podría dejar las infraestructuras industriales inactivas, impidiendo a los operadores interactuar con los procesos de control en tiempo real.

El coste de electricidad, medido en Kilovatio hora (kWh), depende de varios factores: con qué frecuencia está configurado el software malicioso de minado para funcionar, con cuántas secuencias de ejecución durante su uso está configurado y el número de máquinas que están minando en la red de la víctima. El coste por Kilovatio hora es muy variable y depende de la localización geográfica. Por ejemplo, investigadores de seguridad que usaron Coinhive en una máquina durante 24 horas descubrieron que el consumo eléctrico fue de 1.212kWh. Estimaron que usando este cálculo para medir los costes eléctricos de un mes equivaldrían a 10,50 dólares estadounidenses en Estados Unidos, 5,45 dólares estadounidenses en Singapur y 12,30 dólares estadounidenses en Alemania.

El cryptojacking también puede resaltar los agujeros de seguridad que se han pasado por alto en la red de una compañía. Las organizaciones infectadas con el malware de criptominería son también probablemente vulnerables a ataques y vulnerabilidades más graves, desde el ransomware a malware específico para sistemas de control industrial (ICS) como TRITON.

Técnicas de distribución de malware de minado de criptomonedas

Para maximizar sus beneficios, los cibercriminales diseminan ampliamente su malware de minado usando varias técnicas, como incorporar módulos de cryptojacking en redes bot (botnet) existentes, ataques de criptominería por descarga, uso de aplicaciones móviles que contienen código para el cryptojacking y distribución de herramientas de cryptojacking a través de spam y utilidades de propagación automática. Los actores de amenazas pueden usar el cryptojacking para afectar a numerosos dispositivos y extraer secretamente su potencia de computación. Algunos de los dispositivos que FireEye ha observado que son objetivo de ataque por estos esquemas de cryptojacking son:

• Equipos endpoint de usuarios
• Serivdores corporativos
• Sitios web
• Dispositivos móviles
• Sistemas de control industrial

Las principales técnicas de distribución de malware de minado de criptomonedas son:

• Cryptojacking en la nube. Recientemente se han observado varias operaciones que atacan específicamente las infraestructuras en la nube, lo que será un objetivo creciente del cryptojacking, ya que ofrece a los actores de amenazas un entorno con gran potencia de computación en el que ya se espera que el uso de CPU y los costes de electricidad sean elevados, por lo que permite que sus operaciones permanezcan potencialmente inadvertidas.
• Incorporación del cryptojacking a redes bot existentes. FireEye iSIGHT Intelligence ha observado numerosos botnets destacados como Dridex y Trickbot incorporar la minería de criptomonedas a sus operaciones existentes. Muchas de estas familias son modulares y tienen la capacidad de descargar y ejecutar archivos en remoto. Aunque estas operaciones se han centrado normalmente en el robo de credenciales, añadir módulos de minado genera otra vía de beneficios con poco esfuerzo.
• Cryptojacking al navegar. FireEye iSIGHT Intelligence ha examinado varios informes de clientes de minería de criptomonedas basada en navegadores de Internet.  Se ha visto scripts de minado en sitios web comprometidos, plataformas publicitarias de terceras partes y sitios que los han colocado legítimamente. A pesar de que los scripts de minado de criptomonedas pueden ser emebidos directamente en la fuente de código de la página web, frecuentemente son cargados desde sitios web de terceras partes. Identificar sitios web con código para minar embebido puede ser difícil puesto que no todos los scripts de minado son autorizados por los editores de los sitios, como en el caso de un sitio web con su seguridad comprometida. Además, incluso en casos en los que los scripts de minado sean autorizados por el propietario de un sitio web, no siempre se comunica de forma clara a los visitantes del sitio. En estos momentos, el script más popular desplegado es Coinhive. Se trata de una librería de código abierto de JavaScript que, cuando se descarga en un sitio web vulnerable, puede minar Moner usando los recursos de la CPU del visitante del sitio, sin su conocimiento, mientras navegan por él.
• Malvertising y Exploit kits. El malvertising (anuncios maliciosos en sitios web legítimos) normalmente redirige a los visitantes de un sitio a una página de inicio de un exploit kit. Estas páginas están diseñadas para escanear un sistema en busca de vulnerabilidades, explotar esas vulnerabilidades y descargar y ejecutar códigos maliciosos en el sistema. Cabe destacar, que los anuncios maliciosos pueden ser situados en sitios legítimos y los visitantes pueden infectarse con poca o sin interacción por su parte. Esta táctica de distribución se usa normalmente por actores de amenazas para distribuir malware de forma amplia y ha sido empleado en varias operaciones de minado de criptomonedas.
• Cryptojacking para móviles. Además de atacar servidores empresariales y equipos de usuarios, los actores de amenazas también se han dirigido a dispositivos móviles para sus operaciones de cryptojacking. Aunque esta técnica es menos común, probablemente debido a la limitada capacidad de procesamiento que ofrecen los dispositivos móviles, esta técnica es una amenaza, ya que el consumo mantenido de energía puede dañar los dispositivos y reduce de forma drástica la vida de la batería. Se ha observado a los actores de amenazas atacar los dipositivos móviles albergando aplicaciones maliciosas de cryptojacking en tiendas populares de apps y a través de campañas de malvertising en navegador que identifican los navegadores de usuarios móviles.
• Campañas de spam de FireEye iSIGHT Intelligence ha detectado varias compañas de malware de minado distribuidas a través de campañas de spam, lo que es una táctica muy utilizada para difundir malware indiscriminadamente. Prevemos que los actores maliciosos continuarán utilizando este método para diseminar código de cryptojacking siempre que la minería de criptomonedas siga siendo rentable.
• Gusanos de Tras los ataques de WannaCry, los actores comenzaron a incorporar de forma creciente funcionalidades de autopropagación en el malware. Algunas de las técnicas de autodistribución observadas incluyen la copia en discos removibles, registros SSH por fuerza bruta y la utilización del exploit filtrado de la NSA EternalBlue. Las operaciones de minería de criptomonedas se benefician en gran medida de esta funcionalidad, ya que una distribución más amplia del malware multiplica la cantidad de recursos de CPU disponibles para minar. En consecuencia, estimamos que más actores continuarán desarrollando esta funcionalidad.
• Métodos para evitar la detección. Otra tendencia que hay que destacar es el uso de proxys para evitar la detección. La implementación de proxys para minar es una opción atractiva para los cibercriminales porque les permite evitar el pago de comisiones o al desarrollador de un 30 por ciento o más. Al evitar el uso de servicios comunes de cryptojacking, como Coinhive, Cryptloot y Deepminer y, en su lugar, albergar scripts de cryptojacking en una infraestructura controlada por el actor de la amenaza, puede eludir muchas de las estrategias más comunes usadas para bloquear esta actividad a través de las listas negras de dominios o ficheros.  Además de usar proxys , los actores también pueden establecer sus propias aplicaciones para minar alojadas por sí mismos, ya sea en servidores privados o basados en la nube que soporte Node.js. La combinación del uso de proxys y de malware para minar albergado en una infraestructura en la nube controlada por el actor de la amenaza representa un obstáculo significativo para los profesionales de seguridad, ya que ambos hacen que las operaciones de cryptojacking sean más difíciles de detectar y bloquear.

Pronóstico

En las comunidades y mercados underground ha habido un interés significativo en las operaciones de cryptojacking y se han observado y se ha informado de numerosas campañas por investigadores de seguridad. Todo ello muestra la continua tendencia al alza de los actores de amenazas que llevan a cabo operaciones de minería de criptomonedas, que FireEye espera ver como un punto de interés continuo a lo largo de 2018. Notablemente, la minería maliciosa de criptomonedas podría ser vista como algo preferible debido a la percepción de que no atrae tanta atención por parte de las fuerzas del orden comparado con otras formas de fraude o robo. Además, las víctimas podrían no darse cuenta de que su ordenador está infectado más allá de un descenso del rendimiento del sistema.

Debido a sus características inherentes centradas en la privacidad y a la rentabilidad del minado con CPU, Monero se ha convertido en la criptomoneda más atractiva para los cibercriminales. FireEye cree que continuará siendo la criptomoneda preferida por los actores de amenazas, siempre que el blockchain de Monero mantenga sus estándares centrados en la privacidad y sea inmune a ASIC. Si el protocolo de Monero rebajara en el futuro sus características de seguridad y privacidad, entonces podemos determinar con gran confianza que los actores de amenazas usarían otra moneda centrada en la privacidad como alternativa.

Debido al anonimato asociado a la criptomoneda Monero y los monederos electrónicos, así como la disponibilidad de numerosas casas de cambio y tumblers, la atribución del minado malicioso de criptomonedas será muy complejo para las autoridades y los actores maliciosos detrás de tales operaciones normalmente permanecerán sin identificar. Los actores de amenazas seguirán mostrando sin duda un gran interés en la criptominería maliciosa siempre que siga siendo rentable y una actividad relativamente de bajo riesgo.