Criptojacking

El Criptojacking, también llamado Criptominado malicioso o Criptosecuestro, en inglés Cryptojacking (derivado de la combinación de los vocablos Cryptocurrency , criptomoneda, y Hijacking, secuestro^[1]), consiste en el secuestro de un dispositivo electrónico sin el consentimiento o conocimiento del usuario, para aprovechar sus recursos en el minado de criptomonedas.^[2]

La criptomoneda más usada para minar en este tipo de ataques es Monero debido a sus características de privacidad y anonimato y por tanto las transacciones no se pueden trazar.^[3]^[4]^[5] Además, algoritmo Proof-of-Work de Monero (CryptoNight^[6]) se ha diseñado para hacer que las actividades de minería sean viables con una CPU estándar en vez de requerir grandes cantidades de recursos o incluso hardware especializado.^[5]^[7] También es habitual el criptosecuestro para minado de Bitcoin y Ethereum debido a su alto valor en el mercado.^[8]

El éxito de este tipo de ataque se debe a que es fácil de efectuar y automatizar, además de la dificultad de detectar su presencia en el dispositivo infectado.^[1]

Cualquier dispositivo puede ser objetivo de este tipo de secuestro.^[1] Por ejemplo supercomputadores^[9]^[10],servidores, routers^[11], ordenadores personales, consolas de juegos, tabletas, dispositivos móviles, dispositivos inteligentes y dispositivos IoT.^[1]^[12]

Tipos[editar]

Podemos clasificar los criptosecuestros en función de su modo de funcionamiento en:

Criptosecuestro basado en navegador.
Criptosecuestro basado en routers.
Criptosecuestro basado en archivos
Criptosecuestro en la nube

Criptosecuestro basado en navegador[editar]

Consiste en que el servidor web envía código manipulado donde se inyecta el código malicioso en el navegador. Una vez que el usuario cierra el navegador o el proceso afectado, el dispositivo dejaría de realizar acciones de minado.^[1]^[12]

Este tipo de criptosecuentro empezó en 2017 cuando la empresa alemana de servicios web Coinhive desarrolló un javascript que al instalarlo en el sitio web permitía realizar minería para la criptomoneda Monero.^[12]^[13] De esta forma se permitía a los propietarios de sitios web obtener ingresos alternativos a la visualización de anuncios.^[12]

Inicialmente, el acuerdo era abierto, transparente y consensuado entre los visitantes y los propietarios del sitio web.^[12] Sin embargo, los ciberdelincuentes pronto vieron el potencial lucrativo y comenzaron a colocar en secreto en miles de sitios web versiones modificadas de la biblioteca de Coinhive pero mandando los ingresos a los grupos delictivos.^[12]^[13]

Poco a poco, los fabricantes de navegadores, al ver la expansión del minado ilícito a través de navegadores que relentizaban los sitios web, comenzaron a implementar funciones de seguridad para detectar y bloquear este tipo de operaciones.^[13] En 2018, Google prohibió las extensiones web que extrajeran criptomonedas de Chrome Web Store.^[12]

En marzo de 2019, los operadores de Coinhive anunciaron que iban a cerrar, citando varias razones, incluida la creciente dificultad y eficiencia en la extracción de Monero dentro de los navegadores web.^[13] Además, se publicaron artículos demostrando que la ineficiencia del cryptojacking para generar ingresos, a pesar de su popularidad entre los grupos de delitos cibernéticos, con solo tres anuncios clásicos en línea que generaban 5,5 veces más ingresos que un script de cryptojacking basado en la web.^[13] Estas fueron las razones por las que después del cierre de Coinhive se redujeron a niveles casi inexistentes el criptojacking basado en el navegador, ya que la mayoría de las bandas de delitos cibernéticos pasaron a otras tácticas.^[13]

Criptosecuestro basado en routers[editar]

El funcionamiento en este tipo de criptosecuestro es similar al criptosecuestro basado en navegadores, salvo que el origen del código malicioso no está en un servidor web modificado, si no en un router con código malicioso que modifica el tráfico para introducir dicho código.^[11] Es decir, aprovechándose vulnerabilidades de los routers, se instala software que reescribe el tráfico del usuario y embebe código de criptominado en cada conexión a cualquier web.^[11] De esta forma cualquier página web visitada por cualquier usuario detrás de router infectado realizaría procesos de minado a favor de los ciberdelincuentes.^[11]

Observar que la inyección puede funcionar en ambos sentidos, para el tráfico que llega al usuario y, si por ejemplo, un sitio web está alojado en una red local detrás de un router afectado, el tráfico a ese sitio web también se inyectará con el código malicioso.^[14]

En 2019, Interpol lideró una operación en el sudeste asiático que redujo el cryptojacking en un 78% en la zona.^[15] Las autoridades de los países participantes recibieron pautas para detectar y eliminar el malware malicioso parcheando enrutadores infectados.^[15] El ataque se aprovechaba de una vulnerabilidad publicada, que no había sido parcheada en miles routers, para cambiar su configuración e inyectar un script de minería de criptomonedas en algunas partes del tráfico web.^[14] Algunos ISP usaban estos routers para su red principal, lo que permitió al atacante inyectar el código malicioso en una gran cantidad de tráfico web.^[14]

Criptosecuestro basado en archivos[editar]

Consiste en la instalación de malware en los propios dispositivos. Este malware es el que se encarga de realizar el minado de criptomonedas. La instalación en como en cualquier otro tipo de malware. Puede originarse en el contenido en archivos adjuntos en correos electrónicos, instalación de plugins modificados, aprovechamiento vulnerabilidades, contraseñas débiles, gusanos, ...

En este tipo de infección, al estar instalado en el propio del dispositivo es más difícil eliminar.^[1]^[12]

Este tipo de malware puede realizar, además del criptominado, otro tipo de técnicas maliciosas y formar sus propias botnets. Por ejemplo, la botnet Smominru realiza criptominado para la criptomoneda Monero y también permite el robo de información y captura de credenciales.^[16]^[17] Esta red ha sido detectada desde 2017 y en 2020 se estimaba que estaba compuesta por más de 500.000 nodos.^[16] El objetivo de este malware son servidores windows, los cuales están encendidos todo el tiempo, de pequeño tamaño.^[17]^[16]

Criptosecuestro basado en la nube[editar]

La característica que más atrae de la nube para el criptosecuestro es el aumento en la capacidad de computo según las necesidades de consumo.^[18] Esto logra que sea casi imperceptible la presencia de minadores dentro de la infraestructura de las empresas, tanto el aumento de uso de CPU y el consumo eléctrico es algo que se contempla como normal en los montajes en la nube.^[18]

Para poder tener acceso a los recursos en la nube es frecuente:

Búsqueda en el código o archivos de una organización con la esperanza de encontrar las claves API para acceder al servicio en la nube.^[19]
Aprovechar los errores de configuración que dejan los administradores en el momento de realizar las migraciones.^[18]
Aprovechar las nuevas vulnerabilidades de los sistemas y mecanismos de administración de la computación en la nube.^[18]

A partir del acceso instalan software y usan los recursos de la CPU para extraer criptomonedas.^[19]

En febrero de 2018, FireEye, publicó como los delincuentes aprovecharon una vulnerabilidad de los servidores Oracle en entornos en la nube para inyectar minadores en la configuración de Oracle WebLogic Server Security.^[18] En el mismo mes, L.A. Times sufrió un ataque que aprovechó vulnerabilidades en Amazon Web Services S3 para inyectar javascript que hacía que los visitantes de su web minaran para los delincuentes.^[18]

En 2018, al no modificarse la contraseña de gestión por defecto del administrador del sistema, se introdujo código de criptojacking en los nodos de Kubernetes de Tesla.^[18]^[20]

Detección[editar]

Debido a que el proceso de minado requiere de un alto grado de uso del procesador y de la conexión a internet, los principales síntomas son que funcionan lento, se quedan colgados constantemente o que la velocidad de conexión a Internet se ralentiza.^[1] Además, el uso de los dispositivos al máximo rendimiento provoca otra serie de indicadores físicos, como sobrecalentamiento de los componentes y un alto consumo de energía eléctrica.^[1]

Para aumentar la dificultad de la detección, los ciberdelincuentes ha ido distintas estrategias como por ejemplo:

Algoritmos de minado ligeros que dificultan enormemente su detección.^[21]
Detener la minería cuando se detecta la actividad del mouse para que el usuario del dispositivo no sepa que está infectado.^[12]
Operar muy por debajo del 100% de potencia de procesamiento.^[12]

Referencias[editar]

↑ ^a ^b ^c ^d ^e ^f ^g ^h Cryptojacking, el nuevo fraude de los ciberdelincuentes. osi.es. 1 de agosto de 2018
↑ Cryptojacking. incibe.es
↑ ¿Qué es el cryptojacking? Definición y explicación. kaspersky.es
↑ Por qué la criptodivisa Monero se ha convertido en la protagonista de uno de los secuestros más sonados de los últimos tiempos. Javier Pastor. xataka.com. 10 de enero de 2019
↑ ^a ^b Cryptojacking. ENISA 2020.
↑ CryptoNote y CryptoNight: un manto de invisibilidad que borra las huellas de tus transacciones. Abelardo Madrid. bitcoin.es. 29 octubre 2018
↑ Qué es el criptojacking?. 28 de noviembre de 2018
↑ Cryptojacking: Amenaza latente y creciente. Parte 1 de 4. Diego Samuel Espitia. 16 agosto, 2018
↑ Acusan a dos rusos de minar criptomonedas ilegalmente en computadoras estatales. Marie Huillet. cointelegraph.com. 17 de diciembre de 2019
↑ Nuevo sistema de IA protege a las supercomputadoras contra el cripto-jacking. Rick D. beincrypto.com. 21 de agosto de 2020
↑ ^a ^b ^c ^d Just the Tip of the Iceberg: Internet-Scale Exploitation of Routers for Cryptojacking. Hugo L.J. Bijmans, Tim M. Booij and Christian Doerr. 2019. In 2019 ACM SIGSAC Conference on Computer& Communications Security (CCS’19), November 11–15, 2019, London, United Kingdom. ACM, New York, NY, USA, 16 pages. https://doi.org/10.1145/3319535.3354230
↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ¿Qué es el Cryptojacking?. Dora Montaner. criptomundo.com. 17 de mayo de 2021
↑ ^a ^b ^c ^d ^e ^f Browser-based cryptojacking sees sudden spike in activity in Q2 2020. Catalin Cimpanu. zdnet.com. 25 de agosto de 2020
↑ ^a ^b ^c Una campaña masiva de cryptojacking infecta más de 200.000 routers. itdigitalsecurity.es. 3 de agosto de 2018
↑ ^a ^b La operación de Interpol reduce el criptojacking del sudeste asiático en un 78%. criptomoneda.com.es/
↑ ^a ^b ^c ¿Qué es la botnet Smominru y qué hacer ante un ataque de este malware?. helpsystems.com. 26 de febrero de 2020
↑ ^a ^b La botnet Smominru hackeó más de 90 mil computadoras el último mes. masterhacks.net. 18 de septiembre de 2019
↑ ^a ^b ^c ^d ^e ^f ^g Cryptojacking: Amenaza latente y creciente. Parte 2 de 4. Diego Samuel Espitia. blogthinkbig.com. 23 agosto, 2018
↑ ^a ^b An Overview of Cryptojacking & Useful Tips on How to Prevent Cryptojacking. Ruslana Lishchuk. clario.co. 17 de febrero de 2021
↑ Hack Brief: Hackers Enlisted Tesla's Public Cloud to Mine Cryptocurrency.Lily Hay Newman. wired.com. 20 de febrero de 2018
↑ Estafas Habituales en Dispositivos Móviles. WhoTookMyCrypto.com. 13 de mayo de 2019

Datos: Q107121219

[osi18-1] ↑ ^a ^b ^c ^d ^e ^f ^g ^h Cryptojacking, el nuevo fraude de los ciberdelincuentes. osi.es. 1 de agosto de 2018

[2] Cryptojacking. incibe.es

[3] ¿Qué es el cryptojacking? Definición y explicación. kaspersky.es

[4] Por qué la criptodivisa Monero se ha convertido en la protagonista de uno de los secuestros más sonados de los últimos tiempos. Javier Pastor. xataka.com. 10 de enero de 2019

[enisa-5] Cryptojacking. ENISA 2020.

[6] CryptoNote y CryptoNight: un manto de invisibilidad que borra las huellas de tus transacciones. Abelardo Madrid. bitcoin.es. 29 octubre 2018

[7] Qué es el criptojacking?. 28 de noviembre de 2018

[8] Cryptojacking: Amenaza latente y creciente. Parte 1 de 4. Diego Samuel Espitia. 16 agosto, 2018

[9] Acusan a dos rusos de minar criptomonedas ilegalmente en computadoras estatales. Marie Huillet. cointelegraph.com. 17 de diciembre de 2019

[10] Nuevo sistema de IA protege a las supercomputadoras contra el cripto-jacking. Rick D. beincrypto.com. 21 de agosto de 2020

[bij-11] Just the Tip of the Iceberg: Internet-Scale Exploitation of Routers for Cryptojacking. Hugo L.J. Bijmans, Tim M. Booij and Christian Doerr. 2019. In 2019 ACM SIGSAC Conference on Computer& Communications Security (CCS’19), November 11–15, 2019, London, United Kingdom. ACM, New York, NY, USA, 16 pages. https://doi.org/10.1145/3319535.3354230

[dmon-12] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ¿Qué es el Cryptojacking?. Dora Montaner. criptomundo.com. 17 de mayo de 2021

[cimpanu-13] ↑ ^a ^b ^c ^d ^e ^f Browser-based cryptojacking sees sudden spike in activity in Q2 2020. Catalin Cimpanu. zdnet.com. 25 de agosto de 2020

[itdig-14] Una campaña masiva de cryptojacking infecta más de 200.000 routers. itdigitalsecurity.es. 3 de agosto de 2018

[cripto-15] La operación de Interpol reduce el criptojacking del sudeste asiático en un 78%. criptomoneda.com.es/

[help-16] ¿Qué es la botnet Smominru y qué hacer ante un ataque de este malware?. helpsystems.com. 26 de febrero de 2020

[mhacks-17] La botnet Smominru hackeó más de 90 mil computadoras el último mes. masterhacks.net. 18 de septiembre de 2019

[esp2-18] ↑ ^a ^b ^c ^d ^e ^f ^g Cryptojacking: Amenaza latente y creciente. Parte 2 de 4. Diego Samuel Espitia. blogthinkbig.com. 23 agosto, 2018

[clario-19] An Overview of Cryptojacking & Useful Tips on How to Prevent Cryptojacking. Ruslana Lishchuk. clario.co. 17 de febrero de 2021

[20] Hack Brief: Hackers Enlisted Tesla's Public Cloud to Mine Cryptocurrency.Lily Hay Newman. wired.com. 20 de febrero de 2018

[21] Estafas Habituales en Dispositivos Móviles. WhoTookMyCrypto.com. 13 de mayo de 2019

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]