La criptografía es una herramienta que puede funcionar de dos maneras diferentes. Puede utilizarse para ocultar información mediante cifrado. O con la información correcta para realizar un seguimiento de los datos. Esto último es de lo que la gente está hablando cuando nombran a la transparencia como el valor principal de las criptomonedas o de las cadenas de bloques.
En la mayoría de los casos, el uso de la criptografía en las transacciones financieras como una alternativa más transparente a la moneda fiduciaria terminará en una importante consolidación de poder para las entidades corporativas y las instituciones gubernamentales.
Pero, para tantas personas que se toman en serio este futuro. Hay un grupo mucho menos hablado de hackers anónimos que han demostrado a diario en el último año que Internet siempre tiene nuevas oportunidades económicas para los malos actores. Siempre y cuando el usuario medio siga cometiendo los mismos errores operativos.
Webroot, la empresa de análisis de amenazas de ciberseguridad. Acaba de publicar su lista de malware más desagradable de 2019. Desde el rescate como un servicio hasta intrincadas estafas de phishing, criptomanías y esquemas de criptojacking. La lista indica que ha habido un renacimiento de los ataques de ransomware. Aunque los ataques de criptografía han caído, no desaparecerán, ya que la criptocodificación de larga duración sigue siendo valiosa.
La investigación del informe de Webroot extrae datos derivados de los miles de millones de redes y dispositivos que protegen a diario. Mediante algoritmos de aprendizaje automático, Webroot archiva y obtiene más de 750.000 millones de URL y más de 450 millones de dominios cada día.
Bitcoin Magazine habló con uno de los analistas de seguridad de Webroot, Tyler Moffitt, para comprender mejor el nivel actual de amenazas de malware que encuentran, en concreto la cantidad de criptominado y criptojacking que se ha producido en 2019.
Ransomware es la principal amenaza
Además de su trabajo en Webroot, Moffitt es un defensor de las criptomonedas que ha estado extrayendo criptomonedas en su sótano desde antes del máximo histórico de bitcoin de 20.000 dólares en diciembre de 2017. Moffitt utiliza paneles solares, «por suerte, el precio y la potencia no importan».
Comparando el informe de Webroot de 2019 con el mismo informe publicado el año pasado. El nivel general de amenaza parece más o menos el mismo. Algunas campañas han muerto. Las amenazas de criptomanía y criptojacking han caído con la caída general de los precios desde los máximos históricos de bitcoin a finales de 2017.
Esto ha llevado a un resurgimiento de los ataques de software de rescate Remote Desktop Protocol (RDP) popularizados por SamSam, el grupo de hackers iraníes. SamSam fue rastreado y acusado a finales del año pasado después de intentar cambiar su rescate de bitcoin por rials iraníes en un cambio de criptomonedas. Las brechas de RDP son ahora el mayor vector de ataque para las pequeñas y medianas empresas.
Emotet
Emotet es una de las formas más grandes e infecciosas de malware en Internet hoy en día. Es una carga útil inicial de primera etapa que esencialmente estudia los entornos informáticos, analizando la mejor manera de aprovecharla.
En términos de daños financieros. Probablemente el ataque de rescate más desagradable y exitoso en 2019 sea Emotet, seguido de TrickBot como carga útil secundaria que, a su vez, despliega Ryuk, una infección que resulta en una encriptación masiva de toda la red.
GandCrab
Después de que SamSam fue capturado, GandCrab se convirtió en el ejemplo más utilizado y financieramente exitoso de rescate como servicio (RaaS) gracias a su programa de afiliados. Ahora recientemente terminado, que supuestamente ha ganado más de 2 mil millones de dólares en pagos de extorsión de las víctimas.
Como la mayoría de los ataques basados en software de rescate. GandCrab infecta un ordenador y luego mantiene sus archivos como rehenes encriptados hasta que la víctima acepta pagar una suma exigida.
El concepto RaaS se atribuye principalmente a la banda rusa de ciberdelincuentes, el Business Club. Este modelo no infecta técnicamente a nadie. En su lugar, aloja el servicio para una carga útil, en este caso, GandCrab. Sobre TOR, donde los clientes pueden establecer sus propios criterios y generar su propia variación del software de rescate que se desplegará según sus especificaciones.
A diferencia de los negocios reales, el modelo RaaS se basa en un script con una especificación incorporada que envía automáticamente una parte del 30% del rescate de una víctima al proveedor de servicios. GandCrab logró un gran éxito al reducir su parte del rescate de los clientes que podían infectar un cierto número de ordenadores al mes. Sodinokibi/REvil es otra variante del software de rescate que ha surgido en 2019 desde el retiro de GandCrab.
Las amenazas de criptomanía y criptojacking desaparecen por ahora
Aunque lo más probable es que nunca desaparezcan, las amenazas de criptomanía y criptojacking han disminuido en 2019. Esto se atribuye en gran medida a la caída de los precios de bitcoin desde sus máximos históricos a finales de 2017 y principios de 2018. Según el informe, esta amenaza se ha atrofiado con un descenso mensual de alrededor del 5% desde que el bitcoin alcanzó su punto máximo a principios de 2018.
«No voy a mentirte. Cuando bitcoin esta bombeando y subiendo a 20k. Estamos viendo como las cargas utiles de cryptojacking y cryptomining se disparan por el techo. Este comportamiento se desplomó con el precio en enero, pero luego volvió a subir rápidamente en junio», dijo Moffitt.
La distinción entre estos dos ataques de minería de criptomonedas es que el cryptojacking ocurre en una pestaña del navegador cuando un usuario visita un sitio web con un script que despliega una cookie de minería de criptomonedas. Los ataques criptográficos son cargas útiles ejecutables que se ejecutan en ordenadores que primero tienen que ser descargados o habilitados involuntariamente por un usuario.
En comparación con los ataques de software de rescate. Ambos tipos de hacks basados en criptomanía son populares en entornos informáticos que funcionan con hardware de calidad y en los que las víctimas de piratería tienen menos probabilidades de pagar el rescate.
Problemas de seguridad
De la misma manera, es mucho más probable que estos ataques traigan un retorno financiero inmediato, aunque más pequeño. Son sigilosos, no requieren el consentimiento o el conocimiento de la víctima de que se ha producido un ataque. Y como señala Moffitt: «Como sabemos con los pagos en criptomonedas, no hay nadie a quien reportar o quejarse».
Que alguien pueda no darse cuenta de que su ordenador está siendo secuestrado para extraer criptomonedas para un hacker parece poco realista. Un equipo infectado debe disminuir la velocidad y su uso de la CPU debe aumentar. Los hackers han encontrado una manera de evitar esto escalando la minería de criptomonedas de acuerdo a si una víctima está usando o no su computadora infectada.
Si una computadora está recibiendo entradas de ratón o teclado, lo que significa que alguien lo está usando claramente. El programa de minería reducirá la escala para usar porcentajes mucho más bajos de la CPU total de la computadora. A continuación, volverá a tener una capacidad del 100% cuando un usuario haya dejado de trabajar en su ordenador durante el día.
Monero
Monero (XMR) es, con mucho, la criptomoneda más popular en ataques de criptomanía y criptojacking. Según Moffitt, esto no se debe principalmente a que monero es una moneda de privacidad en la que sólo el emisor y el receptor pueden ver el libro de transacciones. En cambio, se debe a la naturaleza anti-ASIC o ASIC-resistente del algoritmo minero de monero.
De esta forma, el equipo de desarrollo de monero se propone eliminar a las grandes empresas mineras como Bitmain y Dragonmint. Que suelen dominar o monopolizar la cuota de mercado de otras monedas con hardware especializado de alto rendimiento para la minería. Las horquillas blandas Monero cambian de forma rutinaria su algoritmo para que los microchips fabricados específicamente se vuelvan obsoletos o menos eficaces que el hardware de consum. Incluidos los ordenadores portátiles, los de sobremesa y las tarjetas gráficas.
«El equipo de desarrollo de Monero odia el hecho de que ciertos fabricantes o proveedores tengan un monopolio sobre el tipo de hardware utilizado en las piscinas mineras. Todo el mundo que explota Bitcoin está utilizando hardware específico de una de estas empresas. Por lo que Monero hace uso de un tenedor suave cada dos meses para cambiar el algoritmo de manera que nadie pueda desarrollar un microchip específico para extraer monero de forma eficaz».
La consecuencia no deseada de crear tantas oportunidades para los mineros con hardware de consumo es que monero también ha creado el sueño de un hacker. Esto significa que los hackers pueden beneficiarse de la minería sin más costes de los que se necesitan para desplegar una carga útil, algo para lo que ya están bien equipados de todos modos.
El Debacle de Coinhive
Uno de los ejemplos más conocidos de hackers que encuentran oportunidades en el algoritmo de minería de Monero proviene del script cryptojacking de Coinhive. No hay pruebas que demuestren que Coinhive diseñó su script criptográfico para ser utilizado como malware por los hackers.
Asumiendo que esto es cierto, Coinhive diseñó un criptojacking script para que los sitios web sean usados legítimamente para generar ingresos a través de la minería de criptomonedas en una pestaña abierta del navegador en lugar de la publicidad en línea.
«Explotó en septiembre de 2017. Diría que entre el 95 y el 98% de todas las cuentas o campañas que ejecutan el guión de Coinhive eran simplemente delincuentes que habían secuestrado e irrumpido en páginas web que no les pertenecían y luego alojaron ese guión. Luego Coinhive recogió el 30% de esto», dijo Moffitt.
Cuando Coinhive fue abordado sobre el uso ilícito de su script, inmediatamente cancelaron la cuenta de un hacker. Pero no impidieron que su script se ejecutara hasta que fueron notificados por un administrador de un sitio web infectado.
Esto pudo haber sido porque Coinhive no podía distinguir entre sitios web infectados con su script y aquellos que usaban el servicio voluntariamente. Pero la prensa ya era bastante mala y su explicación no tenía por qué tener sentido. Por lo que cerraron en marzo de 2019, ya que todo el mercado de criptomonedas, monero en particular, se encontraba en su punto más bajo del año.
Desde que Coinhive se dobló, ha habido una serie de imitadores como Cryptoloot y CoinImp. Que también despliegan principalmente scripts que extraen monero.
Aunque los ataques con criptóminas podrían estar disminuyendo, Moffitt es categórico en cuanto a que siguen siendo una gran amenaza. «Hemos bloqueado más de un millón de intentos. Aún hay 80 mil URLs ejecutando ataques de criptojacking.»
Los centros de acción de los hackers
Estos ataques se centran ahora más en las plataformas de servicios de streaming en línea gratuitos y en los sitios web pornográficos. En los que se espera que los visitantes permanezcan en una sola página web durante un período de tiempo mucho más largo que el promedio de visitas.
Además, cualquier oportunidad de acceder a los vastos recursos de la computación en nube ofrece una oportunidad increíble para los hackers que quieren extraer criptomonedas.
El intento más reciente de hacerlo que fue documentado por los medios de comunicación ocurrió a principios de este mes cuando un hacker se hizo pasar por un desarrollador de juegos para construir una vasta red de cuentas AWS para extraer criptomonedas. Aquí hay otros dos ataques de criptomanía que se hicieron frecuentes en 2019:
Abeja Escondida: Hidden Bee, un exploit que ofrece cargas útiles criptográficas. Comenzó el año pasado con exploits de IE y ahora ha evolucionado hasta convertirse en cargas útiles dentro de imágenes JPEG y PNG a través de la taquigrafía y los formatos de medios WAV de explotación flash.
Retadup: Retadup, un gusano criptográfico con más de 850.000 infecciones. Fue eliminado en agosto por el Cybercrime Fighting Center (C3N) de la Gendarmería Nacional Francesa después de tomar el control del servidor de comando y control del malware.
Amenazas en el horizonte
Mientras que el criptojacking parece haber disminuido desde su apogeo y se ha vuelto bastante fácil de bloquear. Las cargas útiles de criptomanía continuarán siendo una gran oportunidad para los hackers que no quieren lidiar con el ransomware.
«Estos ataques no se pueden rastrear y no hay manera de impedir que se realicen los pagos. Cuando se obtienen criptomonedas de una mina, básicamente ya se ha blanqueado», dijo Moffitt.
Además, cree que la criptomanía es universalmente atractiva por el hecho de que, como carga útil, puede aplicarse a cualquier dispositivo inteligente con Wi-Fi. Las infecciones masivas de IOT, como las que fueron habilitadas por los routers MikroTick infectados en 2018. Es un vector de ataque que él cree que aumentará. Y a medida que suba el precio, este aumento será una bola de nieve.