Qué es cryptojacking cómo prevenir, detectar y recuperarse de él – precio del bitcoin tiempo real

Nadie sabe con certeza la cantidad de criptomonedas que se extrae a través de cryptojacking, pero no hay duda de que la práctica es desenfrenada. El criptockeo basado en navegador está creciendo rápidamente. En noviembre pasado, Adguard informó una tasa de crecimiento del 31 por ciento para el criptobúsqueda en el navegador. Su investigación encontró 33,000 sitios web que ejecutan scripts de cripto minería. Adguard estimó que esos sitios tenían mil millones de visitantes mensuales combinados.

La simple razón por la cual el criptoackeo se está volviendo más popular entre los hackers es más dinero por menos riesgo. “Los hackers ven el cryptojacking como una alternativa más barata y más rentable al ransomware”, dice Alex Vaystikh, CTO y cofundador de SecBI. Con el ransomware, un pirata informático podría hacer pagar a tres personas por cada 100 computadoras infectadas, explica. Con cryptojacking, las 100 de esas máquinas infectadas funcionan para que el pirata informático extraiga criptomonedas. “[El pirata informático] podría hacer lo mismo que esos tres pagos de ransomware, pero la criptografía continuamente genera dinero”, dice.

El riesgo de ser atrapado e identificado también es mucho menor que con el ransomware. El código de minería de cifrado se ejecuta subrepticiamente y puede pasar desapercibido durante mucho tiempo. Una vez descubiertos, es muy difícil encontrar el origen y las víctimas tienen pocos incentivos para hacerlo, ya que nada fue robado o encriptado. Los hackers tienden a preferir las criptomonedas anónimas como Monero y Zcash en lugar de las más populares Bitcoin porque es más difícil rastrear la actividad ilegal hacia ellos. Cómo funciona cryptojacking

Los hackers tienen dos formas principales de conseguir que la computadora de una víctima secrete criptomonedas secretamente. Uno es engañar a las víctimas para que carguen el código cryptomining en sus computadoras. Esto se hace a través de tácticas de phishing: las víctimas reciben un correo electrónico de aspecto legítimo que les anima a hacer clic en un enlace. El enlace ejecuta un código que coloca la secuencia de comandos cryptomining en la computadora. El script se ejecuta en segundo plano a medida que la víctima trabaja.

El otro método es inyectar un script en un sitio web o un anuncio que se envía a varios sitios web. Una vez que las víctimas visitan el sitio web o el anuncio infectado aparece en sus navegadores, el script se ejecuta automáticamente. No hay código almacenado en las computadoras de las víctimas. Independientemente del método que se use, el código ejecuta complejos problemas matemáticos en las computadoras de las víctimas y envía los resultados a un servidor que controla el hacker.

Los hackers a menudo usarán ambos métodos para maximizar su rendimiento. “Los ataques usan viejos trucos de malware para entregar software más confiable y persistente [a las computadoras de las víctimas] como retroceso”, dice Vaystikh. Por ejemplo, de 100 dispositivos que extraen criptomonedas para un pirata informático, el 10 por ciento podría estar generando ingresos a partir del código en las máquinas de las víctimas, mientras que el 90 por ciento lo hace a través de sus navegadores web.

A diferencia de la mayoría de los otros tipos de malware, los scripts de cryptojacking no dañan las computadoras ni los datos de las víctimas. Roban recursos de procesamiento de CPU. Para usuarios individuales, un rendimiento más lento de la computadora puede ser solo una molestia. La organización con muchos sistemas cryptojacked puede generar costos reales en términos de asistencia técnica y tiempo de TI dedicado a rastrear problemas de rendimiento y reemplazar componentes o sistemas con la esperanza de resolver el problema. Ejemplos de cryptojacking en el mundo real

Los cryptojackers son inteligentes y han ideado una serie de esquemas para que las computadoras de otras personas extraigan criptomonedas. La mayoría no son nuevos; Los métodos de entrega de criptografía a menudo se derivan de los utilizados para otros tipos de malware como ransomware o adware. “Estás empezando a ver muchas cosas tradicionales que los malautores han hecho en el pasado”, dice Travis Farral, director de estrategia de seguridad en Anomali. “En lugar de entregar un ransomware o un troyano, lo están reorganizando para entregar módulos o componentes de minería de datos criptográficos”.

En la conferencia EmTech Digital a principios de este año, Darktrace contó la historia de un cliente, un banco europeo, que estaba experimentando algunos patrones de tráfico inusuales en sus servidores. Los procesos nocturnos se ejecutaban lentamente, y las herramientas de diagnóstico del banco no descubrieron nada. Darktrace descubrió que los nuevos servidores estaban en línea durante ese tiempo, servidores que el banco dijo que no existían. Una inspección física del centro de datos reveló que un miembro corrupto había instalado un sistema cryptomining debajo de las tablas del suelo. Sirviendo cryptominers a través de GitHub

En marzo, Avast Software informó que los cryptojackers usaban GitHub como host para malware cryptomining. Encuentran proyectos legítimos a partir de los cuales crean un proyecto bifurcado. El malware luego se oculta en la estructura de directorios de ese proyecto bifurcado. Usando un esquema de phishing, los cryptojackers atraen a las personas a descargar ese malware a través de, por ejemplo, una advertencia para actualizar su reproductor Flash o la promesa de un sitio de juegos de contenido para adultos. Explotando una vulnerabilidad rTorrent

Los cryptojackers han descubierto una vulnerabilidad de configuración errónea de rTorrent que deja a algunos clientes de rTorrent accesibles sin autenticación para la comunicación XML-RPC. Escanean Internet en busca de clientes expuestos y luego implementan un criptomer de Monero sobre ellos. F5 Networks informó esta vulnerabilidad en febrero y aconseja a los usuarios rorrent que se aseguren de que sus clientes no acepten conexiones externas. Facexworm: Malicioso Extensión de Chrome

Este malware, descubierto por primera vez por Kaspersky Labs en 2017, es una extensión de Google Chrome que utiliza Facebook Messenger para infectar las computadoras de los usuarios. Inicialmente Facexworm entregó adware. A principios de este año, Trend Micro encontró una variedad de Facexworm que se enfocaba en intercambios de criptomonedas y era capaz de entregar código cryptomining. Aún utiliza cuentas infectadas de Facebook para entregar enlaces maliciosos, pero también puede robar cuentas y credenciales web, lo que le permite inyectar código criptográfico en esas páginas web. WinstarNssmMiner: política de tierra arrasada

En mayo, 360 Total Security identificó un cryptominer que se extendió rápidamente y resultó efectivo para los cryptojackers. Apodado WinstarNssmMiner, este malware también tiene una desagradable sorpresa para cualquiera que intente eliminarlo: bloquea la computadora de la víctima. WinstarNssmMiner lo hace iniciando primero un proceso svchost.exe e inyectando código en él y estableciendo el atributo del proceso generado en CriticalProcess. Dado que la computadora ve como un proceso crítico, se bloquea una vez que se elimina el proceso. CoinMiner busca y destruye a los competidores

Instale una extensión de bloqueo de anuncios o anti criptografía en los navegadores web. Dado que los scripts de criptoactivamiento a menudo se entregan a través de anuncios web, la instalación de un bloqueador de anuncios puede ser un medio eficaz para detenerlos. Algunos bloqueadores de anuncios como Ad Blocker Plus tienen alguna capacidad para detectar criptografía minera guiones. Laliberte recomienda extensiones como Sin Moneda y MinerBlock, que están diseñadas para detectar y bloquea los scripts cryptomining.

Use protección de punto final que sea capaz de detectar mineros criptográficos conocidos. Muchos de los proveedores de software de protección / antivirus endpoint han agregado la detección crypto miner a sus productos. “Antivirus es una de las cosas buenas para tener en los puntos finales para tratar de proteger contra la criptografía. Si se conoce, es muy probable que se detecte “, dice Farral. Solo tenga en cuenta, agrega, que los autores de cripto menores cambian constantemente sus técnicas para evitar la detección en el punto final.

Use una solución de administración de dispositivos móviles (MDM) para controlar mejor lo que hay en los dispositivos de los usuarios. Las políticas de traer su propio dispositivo (BYOD) presentan un desafío para prevenir la criptografía ilícita. “MDM puede recorrer un largo camino para mantener BYOD más seguro”, dice Laliberte. Una solución de MDM puede ayudar a administrar aplicaciones y extensiones en los dispositivos de los usuarios. Las soluciones de MDM tienden a estar orientadas a empresas más grandes, y las empresas más pequeñas a menudo no pueden pagarlas. Sin embargo, Laliberte señala que los dispositivos móviles no están tan en riesgo como las computadoras de escritorio y los servidores. Debido a que tienden a tener menos poder de procesamiento, no son tan lucrativos para los piratas informáticos.

Ninguna de las mejores prácticas anteriores son infalibles. Reconociendo eso, y la creciente prevalencia de criptoaficionados, el proveedor de soluciones de riesgo cibernético Coalition ahora ofrece cobertura de seguro de fraude de servicio. Según un comunicado de prensa, reembolsará a las organizaciones y las pérdidas financieras directas debido al uso fraudulento de servicios comerciales, incluida la criptografía. Cómo detectar cryptojacking

Al igual que el ransomware, el cryptojacking puede afectar a su organización a pesar de sus mejores esfuerzos para detenerlo. Detectarlo puede ser difícil, especialmente si solo unos pocos sistemas están comprometidos. No cuentes con tu actual protección de punto final herramientas para detener cryptojacking. “El código de cripto minería puede ocultarse de las herramientas de detección basadas en firmas”, dice Laliberte. “Las herramientas antivirus de escritorio no los verán”. Esto es lo que funcionará:

Controle sus propios sitios web en busca de código criptográfico. Farral advierte que los jackpers crypto están encontrando maneras de colocar bits de código Javascript en los servidores web. “El servidor en sí no es el objetivo, pero cualquiera que visite el sitio web [corre el riesgo de infección]”, dice. Él recomienda monitorear regularmente los cambios de archivos en el servidor web o los cambios en las páginas.

Manténgase al tanto de las tendencias de cripto jacking. Los métodos de entrega y el código cripto-minero en sí están en constante evolución. Comprender el software y los comportamientos puede ayudarte detectar jadeo crypto, dice Farral. “Una organización inteligente se mantendrá al tanto de lo que está sucediendo. Si comprende los mecanismos de entrega para este tipo de cosas, sabrá que este kit de exploit en particular está entregando material criptográfico. Las protecciones contra el kit de explotación serán protecciones contra la infección por el malware cryptomining “, dice. Cómo responder a un ataque cryptojacking

Mata y bloquea scripts entregados por el sitio web. Para los ataques de JavaScript en el navegador, la solución es simple una vez que se detecta cryptomining: elimine la pestaña del navegador que ejecuta el script. TI debe tener en cuenta la URL del sitio web que es el origen del script y actualizar los filtros web de la empresa para bloquearlo. Considere desplegar herramientas anti-cripto minería para ayudar a prevenir futuros ataques.

banner