El criptojacking es una actividad maliciosa, en la que un dispositivo infectado se utiliza para minar criptomonedas en secreto. Para hacerlo, el atacante hace uso del poder de procesamiento y el ancho de banda de las víctimas (en la mayoría de los casos esto se hace sin su conocimiento o consentimiento). En general, el malware criptominero responsable de tales actividades maliciosas está diseñado para utilizar los recursos del sistema suficientes para pasar inadvertido el mayor tiempo posible. Como la minería de criptomonedas requiere mucha potencia de procesamiento, los atacantes intentan dividirse en múltiples dispositivos. De esta manera, pueden reunir suficientes recursos computacionales para realizar actividades mineras de bajo riesgo y bajo costo.
Las versiones anteriores del malware de minería dependían de las víctimas para hacer clic en enlaces maliciosos o archivos adjuntos de correo electrónico, infectando accidentalmente su sistema con un cripto-minero oculto. Sin embargo, se han desarrollado tipos más sofisticados de este malware en los últimos dos años, llevando el enfoque de criptojacking a un nivel completamente nuevo. Actualmente, la mayoría del malware de minería se ejecuta a través de scripts que se implementan en sitios web. Este enfoque es conocido como criptojacking basado en web.
Criptojacking basado en web
El criptojacking basado en web (también conocido como criptominería drive-by) es la forma más común de malware criptominero. Por lo general, esta actividad maliciosa se ejecuta a través de secuencias de comandos que se ejecutan dentro de un sitio web, lo que permite que el navegador de la víctima mine automáticamente las criptomonedas durante la duración de la visita. Dichos mineros basados en la web se están implementando en secreto en una amplia variedad de sitios web, independientemente de su popularidad o categoría. En la mayoría de los casos, Monero es la criptomoneda de elección, ya que su proceso de minería no requiere grandes cantidades de recursos y capacidad de procesamiento como lo hace la minería de Bitcoin. Además, Monero ofrece mayores niveles de privacidad y anonimato, lo que hace que las transacciones sean mucho más difíciles de rastrear.
A diferencia del ransomware, el malware de criptominería rara vez compromete la computadora y los datos almacenados en ella. El efecto más notable del criptojacking es el rendimiento reducido de la CPU (generalmente acompañado por un aumento en el ruido del ventilador). Sin embargo, para las empresas y organizaciones más grandes, el rendimiento reducido de la CPU puede obstaculizar su trabajo, lo que podría generar pérdidas considerables y oportunidades perdidas.
CoinHive
El enfoque basado en la web para el criptojacking se vio por primera vez en septiembre de 2017, cuando se lanzó oficialmente al público un cripto-minero llamado CoinHive. CoinHive consiste en un cripto-minero de JavaScript que supuestamente se creó para servir a una causa noble: permitir a los propietarios de sitios web monetizar su contenido de libre acceso sin depender de anuncios desagradables.
CoinHive es compatible con todos los navegadores principales y es relativamente fácil de implementar. Los creadores mantienen el 30% de todas las criptomonedas minadas a través de su código. Hace uso de claves criptográficas para identificar qué cuenta de usuario debe recibir el otro 70%.
A pesar de que inicialmente se presentó como una herramienta interesante, CoinHive recibió muchas críticas debido al hecho de que ahora los cibercriminales lo utilizan para inyectar maliciosamente el minero en varios sitios web pirateados (sin el conocimiento o permiso del propietario).
En los pocos casos en los que CoinHive se implementa intencionalmente para siempre, el criptojacking de JavaScript se configura como una versión Opt-In llamada AuthedMine, que es una versión modificada de CoinHive que solo comienza la minería después de recibir el consentimiento del visitante.
Como era de esperar, AuthedMine no se está adoptando a la misma escala que CoinHive. Una búsqueda rápida en PublicWWW muestra que al menos 14,900 sitios web están ejecutando CoinHive (de los cuales 5,700 son sitios web de WordPress). Por otro lado, AuthedMine se implementó en aproximadamente 1,250 páginas.
Durante la primera mitad de 2018, CoinHive se convirtió en la principal amenaza de malware rastreada por los programas antivirus y las empresas de ciberseguridad. Sin embargo, informes recientes indican que el criptojacking ya no es la amenaza más frecuente, ya que los troyanos bancarios y los ataques de ransomware toman las primeras y segundas posiciones.
El rápido aumento y caída del criptojacking puede estar relacionado con el trabajo de las empresas de ciberseguridad, ya que muchos códigos de criptojacking ahora están en lista negra y la mayoría de los programas antivirus los detectan rápidamente. Además, análisis recientes sugieren que el criptojacking basado en la web no es tan rentable como parece.
The quick rise and fall of cryptojacking may be related to the work of cybersecurity companies, as many cryptojacking codes are now blacklisted and quickly detected by most antivirus software. Moreover, recent analyses suggest that web-based cryptojacking is not as profitable as it seems.
Ejemplos de Criptojacking
En diciembre de 2017, el código CoinHive se implementó silenciosamente en la red WiFi de varias tiendas Starbucks en Buenos Aires, según informó un cliente. El script estaba minando Monero a través de la potencia de procesamiento de cualquier dispositivo que estuviera conectado a él.
A principios de 2018, se descubrió que el minero CoinHive se estaba ejecutando en los anuncios de YouTube a través de la plataforma DoubleClick de Google.
Durante julio y agosto de 2018, un ataque de criptojacking infectó más de 200,000 enrutadores MikroTik en Brasil, inyectando el código CoinHive en una gran cantidad de tráfico web.
¿Cómo detectar y prevenir ataques de criptojacking?
Si sospechas que tu CPU se está utilizando más de lo normal y sus ventiladores de refrigeración hacen ruido sin ninguna razón aparente, es probable que tu dispositivo se esté utilizando para la criptominería. Es importante averiguar si tu computadora está infectada o si tu navegador está ejecutando el criptojacking. Si bien el criptojacking basado en la web es relativamente fácil de descubrir y detener, el malware de minería que se dirige a los sistemas informáticos y las redes no siempre es fácil de detectar, ya que generalmente están diseñados para ser ocultos o enmascarados como algo legítimo.
Hay extensiones de navegador que pueden prevenir de manera efectiva la mayoría de los ataques de criptojacking basados en la web. Además de limitarse a los mineros basados en la web, estas contramedidas se basan generalmente en una lista negra estática, que puede quedar obsoleta rápidamente a medida que se implementan nuevos enfoques de criptojacking. Por lo tanto, también se recomienda mantener tu sistema operativo actualizado, junto con un software antivirus actualizado.
Cuando se trata de empresas y organizaciones más grandes, es importante informar y educar a los empleados sobre el criptojacking y las técnicas de phishing, como correos electrónicos fraudulentos y sitios web de suplantación de identidad.
Resumiendo:
- Presta atención al rendimiento de tu dispositivo y la actividad de la CPU;
- Instala extensiones de navegadores web, como MinerBlock, NoCoin y Adblocker;
- Ten cuidado con los archivos adjuntos y enlaces de correo electrónico.
- Instala un antivirus confiable y mantén tus aplicaciones de software y sistema operativo actualizados;
- Para empresas: enseña a tus empleados sobre técnicas de criptojacking y phishing.
