0

Cómo detectar y evitar el malware en la criptominería

cryptohacking
Los hackers están recurriendo al cryptojacking o cryptojacking, infectando la infraestructura de la empresa con software de criptominería para obtener un flujo constante, confiable y continuo de ingresos. Como resultado, se están volviendo muy astutos para esconder su malware.

Las empresas están muy atentas a cualquier señal del robo de los datos críticos o de su cifrado en un ataque de ransomware. El cryptojacking es más sigiloso y puede ser difícil de detectar para las empresas. El daño que causa es real, pero no siempre es obvio.

El daño puede tener un impacto financiero inmediato si el software de criptominería infecta la infraestructura de la nube o aumenta la factura eléctrica. También puede dañar la productividad y el rendimiento al desacelerar las máquinas.

“En el caso de las CPU que no están específicamente diseñadas para la criptominería, su hardware podría verse perjudicado”, afirma Carles Lopez-Peñalver, analista de inteligencia de Flashpoint. “Pueden agotarse u operar más lento”.

El Cryptojacking se encuentra en sus primeras etapas, añadió. Si una empresa detecta un tipo de ataque, habrá otros cuatro o cinco que procederán. “Si hay algo que potencialmente podría detener a los criptomineros, sería algo así como una red neuronal bien entrenada”, afirma López-Peñalver.

Eso es precisamente lo que hacen algunos proveedores de seguridad -utilizar el aprendizaje automático y otras tecnologías de inteligencia artificial (IA) para detectar los comportamientos que indican la criptominería, incluso si ese ataque en particular nunca se ha visto antes.

Red de defensa contra la criptominería
Muchos proveedores están trabajando para detectar la actividad de la criptominería a nivel de red. “La detección [en el terminal] en este momento es muy complicada”, afirma Alex Vaystikh, CTO de SecBI Ltd. “Puede ser cualquier cosa, desde dispositivos móviles hasta de Internet de las cosas (IoT, por sus siglas en inglés), computadoras portátiles, así como equipos de escritorio y servidores. Puede ser intencional o no. Es extremadamente amplio”.

Todo el malware de cryptojacking tiene un aspecto común, afirma Vaystikh. “Para extraer cualquier criptomoneda, debe ser capaz de comunicarse, recibir nuevos hashes y luego, después de calcularlos, devolverlos a los servidores y colocarlos en la billetera correcta”. Eso significa que la mejor manera de detectar la criptominería es supervisar la actividad sospechosa de la red.

Desafortunadamente, el tráfico de la criptominería puede ser muy difícil de distinguir de otros tipos de comunicaciones. Los mensajes reales son muy cortos, y los escritores de malware usan varios tipos de técnicas para ocultarlos. “Es extremadamente difícil escribir una regla para algo como esto”, afirma Vaystikh. “Así que no muchas empresas pueden detectarlo. Prácticamente todas las organizaciones de más de cinco mil empleados ya tienen los datos -el único problema es que es extremadamente difícil revisar la enorme cantidad de datos que tienen”.

La tecnología de Investigación Autónoma de SecBI aborda este problema utilizando el aprendizaje automático para buscar patrones sospechosos en el vasto mar de datos que llega a través de las redes corporativas. Existen miles de factores que son examinados por SecBI, afirma Vaystikh. Por ejemplo, el tráfico de criptominería es periódico, aunque los creadores de malware intentarán ocultar la naturaleza regular de la comunicación, por ejemplo, volviendo aleatorios los intervalos.

La criptominería también tiene una longitud de mensaje inusual. El tráfico entrante, el hash, es corto. Los resultados salientes son ligeramente más largos. En comparación con el tráfico normal de Internet, la solicitud inicial es corta y la respuesta es larga. “En la minería de Bitcoin, yo de hecho cargo un poco más de lo que descargo”, afirma Vaystikh. “Eso es algo que buscamos”. La tecnología se puede aplicar a la infraestructura de nube pública como Amazon, así como a las redes locales, afirma.

Incluso si el tráfico está encriptado -y el 60% del tráfico de red ahora lo está- la periodicidad de las comunicaciones, la longitud de los mensajes y otros indicadores sutiles se combinan para ayudar al sistema a detectar las infecciones. De hecho, cuando la criptominería apareció por primera vez, la plataforma de SecBI la marcó como posiblemente maliciosa incluso antes de que supiera de qué se trataba. “Ahora, después de que nuestros usuarios lo vieron, ellos exclaman: ‘¡Ah, es criptominería!’ y el software ahora también lo clasifica correctamente”, afirma Vaystikh.

En los últimos meses, el sistema de SecBI ha aprendido a detectar el cryptojacking, clasificarlo correctamente e incluso tomar medidas correctivas inmediatas. “Por ejemplo, puede emitir automáticamente una nueva regla al firewall para aislar ese tráfico y bloquearlo”, afirma Vaystikh.

No todos optarán por automatizar esa respuesta, agrega Vaystikh. Por ejemplo, una página web legítima podría haber sido secuestrada. “Nuestra tecnología tiene la capacidad de recomendar la mejor solución -volver a concebir a la máquina o bloquear el destino- y el cliente puede elegir cuál es la mejor línea de acción en ese caso particular”.

Otro proveedor de seguridad que está analizando el tráfico de red para detectar posibles actividades de criptominería es Darktrace con su tecnología Enterprise Immune System. “Detectamos anomalías a nivel de red y podemos capturar desviaciones sutiles en cualquiera de sus computadoras”, afirma Justin Fier, director de ciber inteligencia y análisis de la compañía. “Si su computadora está acostumbrada a hacer XYZ y, repentinamente, comienza a hacer algo que nunca antes hemos visto, es algo fácil de detectar. Cuando comienza a suceder en miles de computadoras, es aún más fácil de detectar”.

No son solo las computadoras las que son vulnerables. “Cualquier cosa con ciclos de computación se puede usar para esto”, afirma Fier. “Estamos rodeados de tantas cosas con una dirección IP y que están conectadas a Internet, que se pueden conectar para hacer que una supercomputadora extraiga monedas criptográficas. Un solo termostato realmente no va a producir nada, pero cuando lo ensambla a un gran grupo de minería, cientos de miles de ellos, eso es suficiente para hacer la diferencia”.

Otra plataforma que no tiene mucho impacto de forma aislada, pero que puede sumar dinero, es la moneda criptográfica basada en navegador, como Coinhive. La herramienta de criptominería se ejecuta en JavaScript, y es cargada por páginas web infectadas, o, a veces, por páginas web donde los propietarios deliberadamente deciden recaudar dinero secuestrando las máquinas de sus visitantes.

“Una o dos computadoras pueden no ser un gran problema, pero si tienes miles de computadoras, comienzas a afectar los recursos generales y el ancho de banda de la corporación”, afirma Fier. “Ciertas corporaciones podrían ni siquiera estar legalmente autorizadas para la minería de monedas criptográficas por varias razones reglamentarias”.

Una manera garantizada de defenderse contra el cryptojacking basado en navegador es desactivar JavaScript. Es la última opción, puesto que JavaScript se utiliza con fines legítimos en la web. El software antivirus también puede bloquear algunos ataques basados en navegador, afirma Troy Mursch, investigador de seguridad en Bad Packet Report, que incluye a Malwarebytes, ESET, Avast, Kaspersky y Windows Defender.

Ellos tienen limitaciones. “Las compañías de antivirus y los proveedores de navegadores no han establecido claramente quién debería ser responsable de detener el JavaScript malo”, afirma. Él agrega que la detección a nivel de red es crítica.

“No he visto ningún producto antivirus con detección de cryptojacking en terminales -criptominería basada en navegador- basado solo en el comportamiento», afirma Mursch. Un enfoque más específico es instalar extensiones de navegador. Él recomienda minerBlock.

Otra extensión que funciona bien es NoCoin, que hace un trabajo decente en el bloqueo de Coinhive y sus clones, afirma Marc Laliberte, analista de amenazas a la seguridad de la información en WatchGuard Technologies.”Pero ha habido varios casos de extensiones legítimas infectadas con malware de minería de moneda criptográfica”, advirtió.

Al igual que SecBI y Darktrace, WatchGuard ofrece una estrategia de defensa basada en red para el cryptojacking. “El firewall WatchGuard puede hacer conexiones proxy e inspeccionar el tráfico, además de busca comportamientos maliciosos como los mineros de monedas criptográficas”, afirma Laliberte. “Durante el mes pasado, tuvimos dos mineros de monedas criptográficas en nuestra lista de los diez mejores atacantes en Estados Unidos”.

La compañía busca señales de alerta, como conexiones a grupos conocidos de minería criptográfica, y usa tecnología de sandboxing. “Nos gusta observar los comportamientos múltiples antes de etiquetar algo como malo o bueno”, afirma Laliberte.

Los indicadores se vuelven cada vez más sutiles, añade. “Realmente estamos empezando a ver a los atacantes rebobinar el reloj hacia donde el malware no era tan abierto como lo era, por ejemplo, con ransomware”, afirma Laliberte. “Una fuente de ingresos continua es más valiosa que un ataque único como el ransomware». Como resultado, los atacantes no están dejando que su programa malicioso se descargue por completo”, afirma. “Eso se vuelve sospechoso. No se puede simplemente observar la utilización de los recursos, sino el tráfico de la red y otros posibles indicadores de infección”.

Defensa inteligente contra la criptominería en terminales
Otro enfoque para la detección del cryptojacking es proteger el terminal. Según Tim Erlin, vicepresidente de gestión de productos y estrategia en Tripwire, los atacantes pueden evadir las defensas basadas en red mediante el uso del cifrado y canales de comunicación menos visibles. “La forma más efectiva de detectar la minería de criptomonedas es directamente en el terminal”, afirma. “Es por eso que es vital poder monitorear efectivamente los sistemas para detectar cambios y determinar si están autorizados o no”.

En particular, la tecnología de protección de terminal tiene que ser lo suficientemente inteligente como para atrapar las amenazas previamente desconocidas, no solo bloquear una actividad maliciosa conocida, afirma Bryan York, director de servicios en CrowdStrike, proveedora de protección para terminales. Eso no se limita al malware ejecutable, añade. “Los atacantes ahora están usando lenguaje de scripting, aprovechando el software que se usa legítimamente en sus computadoras y sistemas, y usándolo de forma ilegítima”.

CrowdStrike funciona tanto en dispositivos de terminal tradicionales como escritorios de empleados, y máquinas virtuales basadas en la nube. “Hemos tenido algunos casos en los que el software de criptominería se ha instalado en entornos de nube, como las instancias de AWS EC2”, afirma. “Tomamos un enfoque similar para evitarlos. También hay un aspecto único, y es comprender cómo llegó allí. Para comprender eso, uno debe utilizar los datos de registro API que están disponibles en AWS. Eso hace que esas investigaciones sean un poco más desafiantes, pero un poco más interesantes”.

La amenaza interna de la criptominería
Cuando el software de criptominería es instalado deliberadamente por un usuario legítimo, detectarlo es aún más difícil, afirma York. “Acabo de tener un caso, hace un par de semanas, una investigación con una persona infiltrada, un empleado descontento”, afirma York. “Él decidió que desplegar software criptográfico en todo el entorno iba a ser parte de su camino hacia la salida, y una forma de mostrar su desprecio por la compañía”.

Lo que lo hizo particularmente difícil fue que la persona interna era consciente de cómo su empresa estaba detectando la criptografía y la prevención de su propagación. “Empezó a buscar en Google y leer algunos de los artículos que se habían publicado”, afirma York. “Los encontramos en el historial de su navegador web. Intentaba subvertirnos activamente”.

Puede que las políticas corporativas no prohíban específicamente que los empleados ejecuten operaciones de criptominería utilizando recursos corporativos, pero la configuración de dicha operación probablemente sea riesgosa para un empleado. “La factura aparecerá y te despedirán”, afirma Steve McGregory, director sénior del centro de investigación de inteligencia de aplicaciones y amenazas en Ixia. “Así que probablemente sería un plan de corta duración, pero si tuviera la capacidad de controlar los registros, un empleado deshonesto podría hacer una cantidad de dinero decente en paralelo por un tiempo”.

Las instituciones educativas son particularmente vulnerables, agregó. “Muchas de las personas que nos piden ayuda son universidades”, afirma McGregory. “Los estudiantes simplemente están conectando su sistema ASIC [criptominería] en el dormitorio e incrementando la factura de la electricidad. La universidad está pagando la factura, lo que les genera costos. Los estudiantes no ingresaron ilegalmente al sistema”.

Los empleados también pueden conectar sus propios equipos, agregó, y puede ser difícil rastrear la causa real de un pico en una factura eléctrica. “Probablemente lo encontrarían caminando y viendo cuál era el área más cálida”, sugiere McGregory.

Personas internas de confianza también pueden activar máquinas virtuales en AWS, Azure o la nube de Google, hacer sus cálculos y luego cerrarlas rápidamente antes de que nadie se dé cuenta, afirma Robert McNutt, vicepresidente de tecnología emergente de ForeScout. “Este es el riesgo real en el que deberían estar pensando las organizaciones, ya que es mucho más difícil de detectar, y para algunos podría ser muy lucrativo, convirtiéndolo así en algo que podría volverse más común”, afirma.

Los atacantes externos con credenciales robadas también podrían hacer esto, agrega. De hecho, Amazon ahora ofrece instancias EC2 con GPU, lo que hace que la extracción criptográfica sea más eficiente, afirma McNutt. Eso hace que sea aún más costoso para la empresa que paga la factura.

Maria Korolov, CSO

Ordenado por: De interés y curiosidades, Seguridad Tags: 

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2018 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB