Cómo funciona
Las cadenas de bloques utilizan varios algoritmos de consenso para garantizar que el proceso de creación de bloques esté descentralizado. En blockchains como Bitcoin, Monero y muchos otros, el algoritmo de consenso utilizado es Proof of Work (PoW).
En PoW, un bloque válido se define como uno cuyo hash de encabezado tiene un valor menor que un valor particular. Dado que las funciones hash son impredecibles, la única manera de encontrar un bloque válido es probar varias opciones e intentar obtener el correcto. En el caso de Bitcoin, el umbral se establece de modo que toda la red trabajando en conjunto encuentre un bloque válido cada diez minutos en promedio. Cualquiera que sea el minero que encuentre el bloque válido recibe la recompensa.
El malware infecta una computadora y la utiliza para realizar la búsqueda de posibles bloqueos. Si el malware encuentra un bloque válido, el atacante puede enviarlo y recibir la recompensa.
Ejemplos de malware criptográfico
El malware de criptominería ha ganado popularidad ya que proporciona a los ciberdelincuentes una forma de ganar dinero directamente con el control de un sistema. Algunos de los principales ejemplos de malware descritos en el Informe de mitad de año de tendencias ciberataques de 2022 de Check Point incluyen:
- XMRig: XMRig es un malware de criptojacking de código abierto que comúnmente se incorpora a otros tipos de malware. Está diseñado para extraer la criptomoneda Monero o Bitcoin.
- Rubyminer: Rubyminer fue descubierto en enero de 2018 y se centra en servidores, tanto Windows como Linux. Rubyminer busca servidores web vulnerables y entrega XMRig a la mina Monero.
- LemonDuck: El malware LemonDuck surgió en 2018 y utiliza varios métodos de propagación, incluido malspam, explotación de vulnerabilidades y el uso de credenciales comprometidas para iniciar sesión a través de RDP. Además de extraer criptomonedas, también recopila credenciales de correo electrónico y envía otro malware a las computadoras infectadas.
- Darkgate: Darkgate es una variante de malware descubierta por primera vez en diciembre de 2017 y que apunta principalmente a sistemas Windows. Este malware combina múltiples funciones, incluida la criptominería, el ransomware, el robo de credenciales y la funcionalidad de troyano de acceso remoto (RAT).
- WannaMine: WannaMine extrae la criptomoneda Monero. Este criptominero es un gusano que se propaga usando EternalBlue y utiliza suscripciones de eventos permanentes de Windows Management Instrumentation (WMI) para lograr la persistencia en un sistema.
Cómo detectar malware criptominado
El malware de criptominería está diseñado para consumir una importante potencia de procesamiento mientras prueba candidatos potenciales para un encabezado de bloque. Como resultado, una computadora infectada puede mostrar uno de los siguientes dos signos:
- Mayor consumo de recursos.
- Lenteza de computadoras y servidores
Cómo prevenir ataques malware criptográfico
El malware de criptominería puede ser rentable porque brinda a los atacantes acceso a una gran cantidad de potencia de procesamiento para extraer criptomonedas. Sin embargo, esto se hace a costa de las empresas que soportan la factura de la actividad minera que ocurre en sus sistemas. Algunos pasos que una empresa puede tomar para evitar que sus sistemas sean cooptados para la criptomineria incluyen:
- Aplicación de parches y sistemas: varias variantes de malware de criptominería se entregan aprovechando la vulnerabilidad en los sistemas de una organización. La aplicación inmediata de parches para cerrar estos agujeros de seguridad puede reducir la probabilidad de infección.
- Parchear virtualmente con IPS: parchar cada vulnerabilidad no es factible para la mayoría de las organizaciones. El sistema de prevención de intrusiones (IPS) puede ayudar a escalar los programas de parches bloqueando los intentos de explotación contra sistemas vulnerables.
- Implementar MFA: el uso de credenciales comprometidas en RDP u otras plataformas de acceso remoto es otro vector común de entrega de malware. La implementación de una autenticación sólida y la implementación de autenticación de múltiples factores (MFA) puede dificultar que los atacantes utilicen estas credenciales comprometidas.
- Implemente la protección de día cero: La criptominería de malware puede ser un negocio rentable y los ciberdelincuentes invierten importantes recursos para evadir la detección. Las capacidades de detección malware de día cero son esenciales para evitar que el malware obtenga acceso a los sistemas de una organización y robe sus recursos.
- Proteger la nube: los sistemas basados en la nube son un objetivo común para los criptomineros debido a su poder de procesamiento flexible y escalable y su visibilidad limitada para los equipos de TI. Las empresas deben tener especial cuidado de bloquear estos sistemas para protegerlos contra los criptomineros.
Comentarios