Cryptojacking: Amenaza latente y creciente. Parte 2 de 4

jueves, 23 de agosto de 2018

Cryptojacking: Amenaza latente y creciente. Parte 2 de 4 imagen

Continuando con nuestra serie de artículos sobre CryptoJacking que empezamos hace unos días, es importante entender que el objetivo planteado por el delincuente es monetizar con la mayor efectividad posible su acción. Por ello, una vez secuestra una máquina, debe validar si en esta se ejecutan o no transacciones de criptomonedas, ya que en caso detectar transacciones será más efectivo, por ejemplo, utilizar el ataque de robo en el portapapeles que el de minar la máquina.

Teniendo en cuenta este comportamiento, podemos agrupar los principales objetivos de los delincuentes en aquellos que afectan a:
  1. Embebidos en sitios Web
  2. Entornos en la nube
  3. Botnet
  4. Transacciones de usuarios
  5. Dispositivos móviles
Cada uno de estos grupos permite aprovecharse sigilosamente de las víctimas, aprovechando en algunos casos comportamientos que a pesar de ser anómalos, no levanten sospecha.

¿Embebidos en sitios Web?
Esta amenaza surge como un mecanismo de monetización que utilizan los administradores de sitios web al incrustar código que use el equipo de los visitantes en la web como un minador, tal como se hace con los anuncios publicitarios de los diferentes sitios web. Esta acción no constituye ninguna actividad ilegal si es ejecutado por el administrador del sitio y si en el mismo se informa a sus visitantes que, durante el tiempo en el que mantengan abierta la web en el navegador, su dispositivo estará realizando procesos adicionales para el minado de criptomonedas.

Es así cuando aparecen varias plataformas en JavaScript que entregan a los desarrolladores la opción de incrustar estos minadores, siendo JSECoin y Coinhive las más conocidas y usadas, debido a que son códigos que trabajan de forma silenciosa y usan las capacidades de la CPU de los visitantes de la web para minar XMR.

Hasta este punto, es un método que ayuda a las empresas o usuarios a monetizar sus sitios web sin utilizar publicidad. Sin embargo, esta posibilidad, ofrece una ventana a los ciberdelincuentes de incrustar este código sin el conocimiento de los administradores. Esta amenaza alcanzó su punto álgido durante el segundo trimestre de 2017 en el que el número de ataques llegó a su cifra más alta y obligó a tomar una serie de medidas para combatir y frenar la minería no autorizada de criptodivisas cuando navegamos.

Se dieron importantes incidentes que afectaron a sitios web como YouTube y GitHub, SafeBrowser, L.A. Times y Showtime. Donde millones de usuarios fueron utilizados para minar criptomonedas (XMR principalmente ).No obstante, a pesar de las consecuencias que puede presentar este ataque, su franja de ejecución es muy efímera al depender de factores que no controla como que el usuario mantenga abierta la ventana y que los administradores de los sitios no eliminen el malware. Aún así, los delincuentes encontraron una forma en la que teniendo una web infectada, el mineo se pudiese hacer persistente en el dispositivo, como lo evidenció MalwareBytesen su estudio sobre cryptojacking persistente en navegadores.

Entornos en la nube
Es evidente que se está llevando una migración a la nube por parte de las empresas públicas y privadas de todo el mundo, lo que permite aumentar su capacidad de almacenamiento de datos y disponibilidad de información entre otros. Pero son precisamente esas características las que también llaman la atención de los ciberdelincuentes que ocasiona que los ataques tengan una fuerte presencia en la nube.

En el caso puntual del CryptoJacking, la característica que más atrae es el aumento en la capacidad de computo según las necesidades de consumo. Esto logra que sea casi imperceptible la presencia de minadores dentro de la infraestructura de las empresas, tanto el aumento de uso de CPU y el consumo eléctrico es algo que se contempla como normal en los montajes en la nube.

Las técnicas usadas para aprovechar las capacidades en la nube se pueden distinguir principalmente en dos: 
  • Aprovechar los errores de configuración que dejan los administradores en el momento de realizar las migraciones.
  • Aprovechar las nuevas vulnerabilidades de los sistemas y mecanismos de administración de la computación en la nube.

En febrero de 2018, FireEye, publicó como los delincuentes aprovecharon una vulnerabilidad de los servidores Oracle marcada como CVE2017-10271 en entornos en la nube para inyectar minadores en la configuración de Oracle WebLogic Server Security por medio de, al menos, cuatro tácticas. En el mismo mes, L.A. Times sufrió un ataque que aprovechó vulnerabilidades en Amazon Web Services S3 para inyectar el JavaScript de ConHive, haciendo que los visitantes del conocido medio de comunicación minaran XMR para los delincuentes.

Aprovechando mecanismos como Docker que facilitan la gestión y despliegue de montajes en la nube, los delincuentes desplegaron minadores en las imágenes afectando nodos de Kubernetes. Fue así como la conocida empresa Tesla se vio afectada tras infectarse uno de sus nodos de Kubernetes al no modificarse la contraseña de gestión por defecto del administrador del sistema, lo que permitió a los ciberdelincuentes, hacer uso de sus servidores internos para el minado de criptomonedas.

Continuaremos hablando en próximas entradas sobre este tema, pero ya sabéis que para cualquier consulta o sugerencia podéis escribir a nuestra comunidad de ElevenPaths

» Cryptojacking: Amenaza latente y creciente. Parte 1 de 4

Diego Espitia
Chief Security Ambassador at ElevenPaths (CSA)



No hay comentarios:

Publicar un comentario