Cryptojacking: la amenaza invisible



El malware de minería fluye y refluye con el precio de las criptomonedas, y dado que el impulso del precio es al alza, el cryptojacking es una amenaza muy presente.

El cryptojacking no es una nueva amenaza, pero está evolucionando mucho. Este tipo de malware de minería tiende a refluir y fluir en infecciones con el precio de las criptomonedas. La mala noticia es que el cryptojacking está experimentando un nuevo impulso ascendente en 2020. Como trasfondo, 2018 fue uno de los años más importantes para criptominería desarrollo y proliferación de malware. En 2019, hubo una 40% de caída a principios de año, seguido de una tasa de infección constante en 2020, con una ligera repunte hasta agosto. Esas tendencias se alinean con el precio de Bitcoin durante los últimos tres años.

Entonces, ¿por qué una vieja amenaza es una noticia importante y oportuna? El cryptojacking está muy poco informado en la industria de la seguridad, y solo se ha visto una pequeña fracción de lo que existe, debido a la naturaleza del malware involucrado. Cuando se examina el malware de minería, es increíblemente ligero, elegante y fácil de cambiar. Su único propósito es calcular números usando CPU de computadora, y es muy difícil diferenciar entre un script legítimo y un script de criptomineros. Además, el código suele ser tan personalizado y tener un comportamiento tan benigno que los escáneres de malware pasan por alto el código por completo.

Dado que los precios de las criptomonedas están aumentando, la cantidad de dispositivos de Internet de las cosas (IoT) se ha duplicado desde 2017, los teléfonos móviles con navegadores net son omnipresentes y la cantidad de vulnerabilidades descubiertas se ha triplicado durante el mismo período de tiempo, nos enfrentamos a una tormenta perfecta. de oportunidad para que los criptomineros desarrollen sus tácticas y creen malware de minería con gusanos para obtener ganancias ilícitas.

Considere lo siguiente: una CPU promedio puede procesar alrededor de 500 hashes por segundo en el Monero pink. Los servidores tienen muchas CPU, por lo que son un objetivo más lucrativo que los dispositivos de IoT, pero los dispositivos de IoT son más numerosos y, a menudo, un objetivo más suave (todos los objetivos, incluidos los dispositivos de IoT, navegadores world wide web, teléfonos móviles, etcetera., se mantienen iguales para el en aras de este artículo y la simplicidad). A los precios actuales, esta tasa de hash se traduce en $ .21 por semana por CPU de la minería.

Se podría decir que es una cantidad insignificante, pero pongámoslo en una perspectiva diferente. los Mirai La botnet infectó 600.000 dispositivos. Un ataque de secuencias de comandos entre sitios en búsqueda de Google podría afectar a 6 mil millones de dispositivos en un solo día. Hay aproximadamente 20 mil millones conectados a Internet dispositivos hoy. Incluso alguien que pudiera infectar 10,000 de los 20 mil millones de instancias (.00005%) podría ganar $ 2,100 a la semana, suficiente para vivir cómodamente en la mayoría de los lugares.

Infección de todos los dispositivos
¿Cómo se infectan 10.000 dispositivos? La forma más sencilla es encontrar computer software explotable de forma automatizada. La ejecución de código es la principal categoría de vulnerabilidad reportada durante los últimos tres años consecutivos. Cross-web-site scripting (XSS) fue la vulnerabilidad n. ° 1 reportada a través de HackerOne en 2019.

Las razones por las que el cryptojacking es más prolífico son tres: no requiere permisos elevados, es independiente de la plataforma y rara vez se activa. antivirus desencadenantes. Además, el código suele ser lo suficientemente pequeño como para insertarse subrepticiamente en bibliotecas de código abierto y dependencias de las que dependen otras plataformas. También se puede configurar para acelerar en función del dispositivo, así como para utilizar una variedad de DNS cifrado, para no despertar sospechas.

El criptojacking también se puede construir para casi cualquier contexto y en varios lenguajes como JavaScript, Go, Ruby, Shell, Pitón, Potencia Shell, etc. Siempre que el malware pueda ejecutar comandos locales, puede utilizar la potencia de procesamiento de la CPU y comenzar a extraer criptomonedas. Además de sistemas completos, los criptomineros pueden prosperar en entornos de caballos de batalla pequeños, como Estibador contenedores, Kubernetes clústeres y dispositivos móviles, o aproveche las instancias en la nube mal configuradas y las cuentas con permisos excesivos. Las posibilidades son infinitas.

Escalas desequilibradas
El objetivo es minimizar la detección y maximizar la longevidad. Incluso con los precios de las criptomonedas en constante cambio, para los actores motivados financieramente, el cryptojacking sigue siendo lucrativo. Los gastos generales de recursos son mínimos y se obtienen beneficios directos.

Aquí hay tres razones por las que veremos un crecimiento y desarrollo continuo del cryptojacking:

  1. El número de objetivos potenciales es de miles de millones. Muchos dispositivos ya están infectados y pasan desapercibidos.
  2. Es un pago directo por un mínimo esfuerzo. No es necesario realizar pasos adicionales para obtener dinero, como agentes de datos o mediante «caída de cripto, «un proceso identical al lavado de dinero.
  3. El cryptojacking es solo un paso eliminado de la exfiltración de datos. Una vez que se establece un punto de apoyo dentro de los entornos, el cryptojacking podría evolucionar fácilmente a malware que se puede gustar, aprovechando técnicas avanzadas. También podría convertirse en botnets de alquiler o robo de datos.

Además de la gran cantidad de objetivos, las violaciones de datos corporativos no se informan en gran medida porque las leyes varían según la jurisdicción sobre cuándo se requiere que una empresa informe un incumplimiento. Debido a que el cryptojacking generalmente no roba datos ni causa una interrupción comercial, nadie está obligando a las víctimas a informar una infección. Para empezar, el malware es sigiloso, por lo que no se informa.

El cryptojacking también puede apuntar a la mayor parte de los dispositivos de IoT, a menudo de los cuales carecen de detección de malware. A menos que una empresa tenga una línea de foundation bien establecida y un presupuesto ajustado, nadie será más sabio.

Desarrollar una respuesta
La evaluación de las macrotendencias es elementary para desarrollar ciberdefensas para el futuro. Las amenazas de criptojacking deben tomarse en serio, ya que pueden convertirse en una brecha de seguridad en cualquier momento. Deberíamos estar buscando amenazas de criptojacking en múltiples niveles:

  • Identificación de algoritmos de minería en tiempo de ejecución en lugar de en disco
  • Inspección completa de DNS para todos los dispositivos conectados
  • Alerta de DNS / IP para grupos de minería conocidos, uso de Tor o repositorios de Git en lista negra
  • Monitoreo de CPU / GPU para uso intensivo
  • Monitoreo de línea foundation de temperatura para dispositivos físicos

Además, se necesita más visibilidad de nuestros dispositivos y contenedores de IoT para comprender el uso anormal de la línea de base. Hasta que la industria de la seguridad en su conjunto sea capaz de identificar eficazmente esta amenaza a gran escala, solo seguirá empeorando.

Como director sénior de ciberseguridad en Guidewire Program, Matthew Honea es responsable de la estrategia e implementación de seguridad corporativa de la empresa. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original