¿Qué es el criptojacking?

¿Cómo funciona el criptojacking?

El criptojacking utiliza malware o código malicioso para apoderarse de la potencia de procesamiento de los dispositivos de las víctimas (portátiles, ordenadores de sobremesa, teléfonos inteligentes, etc.) para su uso en la minería de criptomonedas.

Veamos cómo progresa un ataque de cryptojacking.

1. Entrega/Infección: los atacantes suelen ejecutar código de criptominería en el dispositivo de la víctima a través de estafas de ingeniería social como phishing, páginas web maliciosas, etc. Los sitios web y servicios en la nube comprometidos con código de criptominería pueden desviar silenciosamente la potencia informática de los usuarios mientras permanecen conectados.
2. Ejecución: los scripts de criptominería se ejecutan en un dispositivo comprometido, utilizando su CPU o GPU para resolver problemas criptográficos difíciles. El dispositivo a menudo se convierte en parte de una botnet que combina el poder computacional de muchos puntos finales infectados para darle al minero una ventaja en la carrera de blockchain.
3. Beneficio: el minero cuyos esfuerzos computacionales resuelven el rompecabezas criptográfico recibe primero la "recompensa en bloque", una asignación de criptomonedas enviada a su cartera digital. Mientras tanto, las víctimas del criptojacking no obtienen ninguna recompensa y terminan pagando indirectamente por ella.

A diferencia del ransomware, que llama la atención sobre sí mismo como un paso clave de un ataque, el software de cryptojacking se ejecuta lo más silenciosamente posible para aumentar la vida útil y la rentabilidad del ataque. Puede utilizar técnicas de cifrado y antianálisis para evadir soluciones básicas de detección de ciberamenazas, acelerar o pausar el uso de la CPU según la actividad del usuario y más para evitar despertar sospechas.

¿Cuáles son las fuentes del malware de criptojacking?

El malware de criptojacking se parece mucho a otros tipos de malware en términos de dónde puede aparecer naturalmente. La mayoría de las veces, se puede encontrar en conexión con:

• Sitios web, complementos o extensiones de navegador comprometidos a los que se les ha inyectado código malicioso
• Minería basada en navegador o “drive-by” en sitios web que de otro modo no son inherentemente maliciosos
• Descargas maliciosas disfrazadas de software benigno, especialmente aplicaciones gratuitas o torrents
• Correos electrónicos de phishing que contienen archivos adjuntos infectados o que conducen a sitios web maliciosos
• Anuncios maliciosos que contienen secuencias de comandos de criptojacking que se ejecutan cuando se hace clic en el anuncio o se ve

¿Qué significa el malware Cryptojacking para su empresa?

A nivel organizacional, el costo diario del criptojacking puede no llamar la atención. Sin embargo, puede sumar rápidamente cientos o incluso miles de dólares por mes, sin mencionar el potencial de:

• Rendimiento degradado del sistema, que puede frustrar y ralentizar a sus usuarios, lo que afecta a la productividad.
• Mayores facturas y uso de energía, que pueden perjudicar su resultados y van en contra de los objetivos medioambientales.
• Daño al hardware informático, lo que puede generar costos imprevistos de mantenimiento y sustitución.

Ejemplos de criptojacking de la vida real

A pesar de los riesgos, ningún ataque de criptojacking ha alcanzado la popularidad global de los ataques a la cadena de suministro y el ransomware como WannaCry o el ataque a SolarWinds. A diferencia de esos ataques, la forma silenciosa y discreta en que opera el cryptojacking es lo que lo hace peligroso. Veamos algunos ejemplos.

Smominru Botnet
Desde 2017, Smominru ha infectado cientos de miles de sistemas Microsoft Windows en todo el mundo para extraer la criptomoneda Monero. Se propaga mediante ataques de fuerza bruta a las credenciales RDP y explotando vulnerabilidades de software, e incluso puede ejecutar ransomware, troyanos y más en sistemas comprometidos.

The Pirate Bay
En 2018, se descubrió que el sitio de intercambio de archivos P2P The Pirate Bay ejecutaba código JavaScript creado por el ahora desaparecido servicio de criptominería Coinhive. El script de criptojacking se ejecutó sin el consentimiento de los usuarios (y sin posibilidad de evadirlo) mientras navegaban por el sitio, utilizando su potencia informática para extraer Monero.

Graboid
Descubierto por primera vez en 2019, Graboid es un gusano que explota contenedores Docker no seguros (es decir, expuestos a Internet). Se propaga desde hosts comprometidos a otros contenedores en sus redes, donde secuestra los recursos de sus sistemas infectados para minar Monero.

Bibliotecas de imágenes de código abierto
A partir de 2021, los investigadores observaron un aumento en la cantidad de imágenes de criptojacking en repositorios de código abierto como Docker Hub. A finales de 2022, la característica más común entre las imágenes maliciosas era el código de criptojacking (Equipo de Acción de Ciberseguridad de Google Cloud, 2023).

Señales de que podría ser víctima de un criptojacking

Los ataques de criptojacking mantienen un perfil bajo para prolongar el uso no autorizado de su sistema, pero si sabe qué buscar, es posible que pueda identificar sus actividades antes de que el coste para usted o su organización aumente demasiado. Durante las operaciones mineras, es posible que observe:

• Problemas de rendimiento , como desaceleración, congelamiento, fallas o temperaturas de funcionamiento más altas
• Alta utilización de CPU/GPU incluso con muy poca ejecución (consulte el Administrador de tareas de Windows o el Monitor de actividad de macOS)
• Uso de energía elevado o en aumento sin causa legítima aparente
• Tráfico de red inusual, como comunicaciones salientes frecuentes o grandes transferencias de datos a ubicaciones desconocidas
• Procesos desconocidos o sospechososocultos entre los archivos legítimos de un sistema procesos en segundo plano

¿Cómo se puede detectar y prevenir el cryptojacking?

Más allá de las señales de advertencia comunes, puede implementar algunas tecnologías y estrategias simples para ayudar a evitar que los ataques de cryptojacking permanezcan en su entorno, o detenerlos incluso antes de que se produzcan.

• Educar a los usuarios y equipos sobre las señales de advertencia. Es posible que los usuarios no informen problemas como un rendimiento deficiente si no comprenden lo que podría indicar. Para el personal de TI, el servicio de asistencia y NetOps, la evidencia de procesos de minería no autorizados es un factor importante a tener en cuenta al investigar y responder a los informes.
• Encuentre pruebas ocultas con la búsqueda proactiva de amenazas. Es posible que los signos más claros de actividad de cryptojacking no se muestren donde los usuarios puedan verlos. El personal de seguridad capacitado o los encargados de la búsqueda de amenazas pueden identificar e investigar anomalías de comportamiento y otros indicadores sutiles de compromiso de criptojacking.
• Utilice herramientas efectivas para supervisar y bloquear el tráfico de criptominería. La mejor manera de detener el cryptojacking es, en primer lugar, evitar que se inicie. Para ello, necesita una solución que garantice que cada paquete de cada usuario, dentro o fuera de la red, sea inspeccionado completamente de principio a fin, con capacidad ilimitada de inspección de TLS/SSL. Zscaler puede ayudarle.

Protección contra criptojacking de Zscaler

Zscaler Internet Access™ (ZIA™), un componente central del Zscaler Zero Trust Exchange nativo en la nube, brinda protección siempre activa contra el cryptojacking, así como ransomware, amenazas de día cero y malware desconocido, como parte de su sistema basado en IA. Paquete de protección avanzada contra amenazas.

La política prediseñadas en ZIA, activa desde el momento de la implementación, le permite bloquear automáticamente el tráfico de criptominería y generar alertas opcionales. ZIA puede detectar el tráfico de criptominería a medida que pasa por Zero Trust Exchange, incluso si está cifrado.

ZIA ofrece:

• Prevención completa en línea. La arquitectura de proxy en línea es la única manera confiable de poner en cuarentena y bloquear ataques y contenidos sospechosos a escala empresarial.
• Sandbox en línea y ML. Zscaler Sandbox utiliza ML integrado para un análisis avanzado con el fin de detener rápidamente ataques nuevos y evasivos basados en archivos.
• Inspección SSL siempre activa. Distribuido en una plataforma global, ofrece una inspección SSL infinita que sigue a los usuarios, dentro y fuera de la red.
• El efecto nube Zscaler. Aprovechamos los datos sobre amenazas de la nube de seguridad más grande del mundo, que procesa más de 300 mil millones de transacciones por día y docenas de fuentes de amenazas externas, para compartir protecciones contra amenazas en todo el mundo en tiempo real.