Cuando su computadora o dispositivo móvil (y ahora, incluso su dispositivo de IoT) es secuestrado para extraer en secreto las criptomonedas, usted se ha convertido en un coinmining zombie. Su CPU, memoria y disco se enlistan en diversos grados al servicio de la minería del botnet, que trabaja en nombre de quienes la usan, con otros zombis, para ganar dinero en la divisa. El Cryptojacking no solo aumenta el desgaste de su PC o Mac, o de su dispositivo móvil, ya que puede sobrecalentar e hinchar la batería, incluso destruir el dispositivo. ¡No es un buen pago por todo ese servicio!
Entonces, ¿cómo es el criptojacked? ¿Y qué puedes hacer para prevenirlo?
De todos modos, ¿Qué es la criptomoneda?
Primero, un repaso, para aclarar los problemas de seguridad.
Una criptomoneda es una moneda digital diseñada para funcionar como un medio de intercambio, que utiliza criptografía fuerte para proteger transacciones financieras, controlar la creación de unidades adicionales y verificar la transferencia de activos. (Ver criptomoneda, Wikipedia). A diferencia de la impresión electrónica o ilustrada las monedas producidas por los sistemas de banca central, las criptomonedas utilizan computadoras descentralizadas en red de igual a igual: libros contables distribuidos, generalmente blockchains (explicados a continuación), que sirven como bases de datos públicos que procesan y verifican las transacciones realizadas en la moneda.
Lanzado por primera vez en 2009, el Bitcoin generalmente se considera la primera criptomoneda. Desde entonces, se han creado más de 4.000 monedas alternativas, y algunas de ellas, como Ethereum, Ripple, Litecoin y Monero, son muy activas en una lista de más de 1.500 criptomonedas en circulación en la actualidad.
Empresas como Microsoft, Dell, Virgin Galactic, Shopify y Tesla, así como otras (la lista está creciendo) ahora se encuentran entre las compañías que aceptan Bitcoin y otras criptomonedas. Países como los EE. UU., Corea del Sur, Hong Kong y Japón, así como Australia, se encuentran ahora entre los países que aceptan y regulan las criptomonedas. Esta lista también está creciendo, aunque algunos países se han negado a reconocer las criptomonedas o las han prohibido por completo (ver Cryptocurrencies by Country, Dividends Magazine, 25 de octubre de 2017).
A continuación, ¿qué es la minería de criptomonedas?
La minería de criptomonedas, también conocida como coinmining, es la forma en que las transacciones son procesadas y verificadas a través de la red peer-to-peer por los coinminers de criptomonedas, las cuales han sido instaladas en innumerables computadoras de los usuarios. Cada conjunto de transacciones se procesa como un bloque y luego se agrega al blockchain, mediante un hash criptográfico (una cadena alfanumérica de tamaño fijo) que es generado por los coinminers.
El blockchain está listo para el siguiente bloque. La clave privada del propietario de la moneda en su billetera de criptomoneda es lo que identifica la propiedad de las monedas, sella la transacción por el monto especifico e impide que se altere la transacción, como lo verifica el hash. Los mineros primero calculan el hash, antes de cualquier otro movimiento, son recompensados con unidades monetarias gratuitas, de ahí la alta potencia de procesamiento requerida para hacer esto rápidamente (por lo general, en aproximadamente diez minutos).
Con ese fin, la extracción se puede hacer por una o más computadoras grandes de gran capacidad de procesamiento y tarjetas gráficas de alta gama (GPU); o se puede hacer por medio de muchas computadoras mineras más pequeñas que trabajan simultáneamente a través de la red. Los grupos de minería legítimos pueden ser creados por socios que comparten los beneficios calculando la contribución precisa de cada uno de los participantes en la creación del hash criptográfico.
¿Cómo te conviertes en un zombie de coinmining?
Dicho esto, no son solo los empresarios legítimos los que usan grupos de computadoras para extraer criptomonedas. La emisión de moneda transgresiva o criminal puede ocurrir siempre que su computadora y otras personas sean “secuestradas” (es decir, cryptojacked) a la mina sin su permiso.
Trend Micro identifica tres tipos de cryptojacking que actualmente están en uso (aparte del robo total de criptomonedas de la billetera que lo contiene y que también puede ocurrir):
- Web coinminers: Algunos sitios web ahora incorporan webminers transgresivos, como el ejemplo del minero CoinHive anunciado públicamente instalado en PirateBay. CoinHive, es vendido como una alternativa inteligente al uso de anuncios de sitios web, cuando los usuarios hacen clic en PirateBay, una ventana emergente inicia un proceso de coinminancia, lo que aumenta significativamente el uso de la CPU de la máquina del visitante a través del coinminer de Javascript.
Los coinminers ocultos de la web llevan este proceso un paso más allá, permitiendo que atacantes agresivos o criminales pongan en peligro un sitio para la emisión de moneda en forma clandestina, incluso después de cerrar el navegador. Lo hacen minimizando el navegador detrás de la barra de tareas de Windows, para persistir en la extracción a una tasa de procesamiento reducida, por lo que puede que ni siquiera lo note, aunque el uso de la CPU sigua siendo más alto de lo normal.
- Coinminers locales: En este caso, una aplicación falsa enmascarada como una actualización, es instalada por un coinminer en su computadora. Por ejemplo, por medio de una actualización de Flash Player falso, puesto que por medio de una ventana emergente maliciosa le dice que lo necesita para que el sitio web funcione correctamente. Otro ejemplo es HiddenMiner, que se presenta como una aplicación legítima de actualización de Google Play que continuamente extrae la criptomoneda de Monero en Android, lo que puede causar que el dispositivo se sobrecaliente y potencialmente falle. Este es similar al malware Android Loapi Monero-mining, que según los investigadores de seguridad puede causar que la batería de un dispositivo se hinche.
- Coinminers sin archivos: Finalmente, los coinminers sin archivos pueden ejecutarse inicialmente como un script de PowerShell, que luego se propaga en el equipo de destino utilizando Mimikatz o EternalBlue para crear un movimiento lateral, luego Windows Management Instrumentation (WMI) para que el exploit en la conexión de red sea escaneada. Esto abre una puerta trasera persistente, asincrónica y sin archivos en su computadora con el propósito de realizar la minería de manera clandestina. El resultado, una vez más, es un mayor uso de CPU en su máquina.
Entonces, ¿qué hacer con estas amenazas? Haga clic aquí para No ser un zombi de las criptomonedas – Parte 2: ¿Cómo protegerse de ser Cryptojacked?
Leave a Reply