Cómo mitigar el mal del 'cryptojacking'
El 'cryptojacking' está reemplazando al 'ransomware' como principal amenaza para usuarios y organizaciones por sus capacidades para minar criptomonedas y pasar desapercibido.
El cibercrimen es un negocio extremadamente lucrativo: una floreciente economía que genera unos ingresos anuales de 1.500 millones de dólares, según una estimación reciente. Por ello, no es de extrañar que el cryptojacking, el uso no autorizado de los recursos informáticos de otra persona para minar criptomonedas, haya reemplazado al ransomware como principal amenaza. No obstante, veamos en detalle los factores que han impulsado este cambio.
Ratio de pago más alto
Con una capitalización en el mercado de criptomonedas de casi 500.000 millones de dólares,el cryptojacking resulta extremadamente atractivo para los ciberdelincuentes: no requiere grandes habilidades técnicas y, a diferencia del ransomware, ofrece un ratio de pago potencial del 100%. Y es que una vez comprometida la máquina infectada, ésta puede empezar a minar criptomonedas en modo sigiloso, independientemente de su potencia de procesamiento o de su ubicación geográfica. Los atacantes únicamente deben preocuparse porque el minero no consuma completamente la CPU (hasta el punto de bloquear el dispositivo Android), para que el ataque pueda continuar de forma sigilosa e indetectable durante mucho tiempo.
Ubicuidad de la superficie de ataque
No importa si el componente de minado malicioso se inyecta en un ordenador personal o en un dispositivo móvil o IoT. Ni siquiera es relevante el sistema operativo utilizado; con cualquier SO los atacantes pueden aprovechar los ciclos de CPU para fines ilegítimos. Incluso es posible reclutar dispositivos IoT con un poder de procesamiento limitado: la botnet Mirai nos ha enseñado lo que pueden hacer múltiples dispositivos IoT cuando trabajan juntos. Por tanto, no es una coincidencia que una variante haya sido readaptada para minar criptomonedas, y que la misma botnet haya generado una variante capaz de infectar las plataformas de minería, secuestrando las credenciales del propietario del dispositivo.
Múltiples mecanismos de infección
Dado que mineros malintencionados pueden inyectar códigos de minado en prácticamente cualquier dispositivo, los vectores de infección en consecuencia, son múltiples: ataques de fuerza bruta, vulnerabilidades sin parches o sitios web son solo algunos ejemplos de las técnicas mostradas hasta ahora.
En realidad, los clientes están aún más expuestos desde que ellos son capaces de generar criptomonedas simplemente visitando una página web que aloja un minero de JavaScript como Coinhive.
El papel de la nube
En la lista de los cinco nuevos ataques más peligrosos presentados por el instituto SANS en la última Conferencia RSA se incluyen la fuga de datos almacenados en la nube y la monetización de sistemas comprometidos a través de cryptominers. La filtración de datos en la nube es a menudo consecuencia de configuraciones incorrectas o de la ausencia de una adecuada protección de contraseña.
Además de robar datos, los delincuentes pueden usar las mismas configuraciones erróneas para comprometer las instancias corporativas, utilizándolas para minar criptomonedas a expensas de la víctima, con la posibilidad concreta de que este último no detecte el ataque hasta la próxima factura. Una combinación mortal de las dos técnicas de ataque enumeradas por el Instituto SANS ya ha afectado a algunas víctimas de alto perfil como Tesla, cuya nube pública se utilizó para minar criptomonedas.
Recomendaciones para mitigar la amenaza del cryptojacking:
· Gobernar el uso de la web con una plataforma de protección contra amenazas multicapa, capaz de unificar SaaS, IaaS y seguridad web desde un único panel.
· Detectar y remediar criptomineros en la nube utilizando una solución CASB sensible a las amenazas que ejecute la política de uso de servicios no autorizados, así como instancias no autorizadas de servicios de nube sancionados para bloquear ataques híbridos de múltiples etapas donde la carga útil se descarga desde un servicio cloud.
· Implementar una solución CASB capaz de realizar evaluaciones continuas de seguridad y monitorización de su configuración IaaS & PaaS.
· Comprobar la existencia de un adecuado proceso de gestión de parches para clientes y servidores.
· Asegurarse de que el antivirus corporativo esté actualizado con las últimas versiones y parches.
· Fomentar un uso responsable de los recursos de la compañía advirtiendo a los usuarios que eviten: la ejecución de macros y macros sin firma de una fuente no confiable; ejecución de cualquier archivo sin constancia de que sea seguro y la apertura de archivos adjuntos que no sean de confianza.
· Los bloqueadores de anuncios o extensiones de navegador como NoScript pueden ayudar a prevenir los ataques cryptomining drive-by.
· Los administradores pueden crear reglas de firewall para bloquear pools de bitcoin documentados en el artículo de Wikipedia.
El artículo ha sido realizado por Paolo Passeri, Director de Ciber-Inteligencia de Netskope
