Criptodivisas, el próximo gran objetivo de los hackers

Criptodivisas, o criptomonedas, como Bitcoin, Ethereum o litecoin se han vuelto cada vez más populares entre los usuarios y los proveedores de servicios. La capitalización de mercado de estas monedas virtuales ha crecido y esto no pasa desapercibido para los ciberdelincuentes.

Un reciente estudio aseguró que los usuarios activos y únicos de los cryptocurrency wallets, que son los monederos con los que se puede negociar con las criptodivisas se calculan entre tres y seis millones, la mayoría de los cuales están repartidos en Norteamérica y Europa.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

La criptodivisa es una cadena de datos cifrados que supone una unidad de moneda. Es supervisada y organizada por una red peer-to-peer conocida como blockchain, que también sirve como registro seguro de transacciones de compra, venta o transferencia. A diferencia del dinero físico, las criptodivisas están descentralizadas, lo que significa que no son emitidas por gobiernos u otras instituciones financieras.

Otra característica de las criptodivisas es que son creadas a través de algoritmos de cifrado que se mantienen y confirman en un proceso llamado mining, en el que una red de ordenadores o de hardware especializado procesa y valida las transacciones. Se calcula que actualmente hay unas 700 criptodivisas, pero en realidad sólo se trata con unas pocas, como Bitcoin, creada por Satoshi Nakamoto y lanzada al mercado en 2009 como código abierto. Blockchain en la tecnología que permite que todo funcione, proporcionando un sistema en el que las estructuras de datos (bloques-block) se transmiten, validan y registran en una base de datos pública distribuida a través de una red de nodos.

Las criptodivisas no tienen fronteras, lo que significa que se pueden enviar en cualquier momento, a cualquier lugar, sin retrasos ni cargos adicionales de intermediarios. Aseguran sus defensores que, debido a su naturaleza, las cripotidivisas son más seguras contra el fraude y el robo de identidad porque no pueden ser falsificadas, y la información personal está detrás de una pared cifrada.

Esto último es, precisamente, lo que resulta ideal para los cibercriminales que se dedican al ransomware y piden su rescate en monedas virtuales.

Cryptocurrency-mining Malware

El caso es que hay varias maneras de tener criptodivisas. Entre las legítimas el comprarlas directamente a través de Internet a Coinbase, Poliniex, Bittrex…, o ejecutar un software de  cryptocurrency mining. Los ciberdelincuentes prefieren distribuir ransomware y recaudar el dinero en criptomonedas, utilizar malware que vaya contra los cryptocurrency wallets o comprometer sistemas que se estén utilizando para el cryptocurrency mining.

El malware de Cryptocurrency-mining emplea el mismo modus operandi que muchas otras amenazas: desde mensajes maliciosos de spam y descargas de URL malintencionadas a aplicaciones potencialmente no deseadas (PUA). A finales de 2013, la policía alemana arrestó a un grupo de hackers por, supuestamente, usar malware para extraer más de 954.000 dólares de bitcoins.

Desde hace años se está viendo que las herramientas de hacking y puertas traseras relacionadas con la extracción ilícita de bitcoins, así como amenazas cada vez más sofisticadas de cryptocurrency-mining que agregan más capacidades, como DDoS o suplantación de URL.

En 2014 la amenaza llegó a los dispositivos Android; se bautizó como Kagecoin y fue capaz de hacer minería de bitcoin, litecoin y dogecoin. Un troyano de acceso remoto (RAT) njrat / Njw0rm compartido en foros de Oriente Medio fue modificado para agregar funcionalidad de minería bitcoin. Lo mismo se hizo con un viejo Java RAT que puede minar litecoin.

Estamos en 2017 y las cosas no han cambiado. Según Trend Micro, los malware de minería de criptodivisas más notables por el momento son Adylkuzz, CPUMiner/EternalMiner y Linux.MulDrop.14. El primero aprovecha EternalBlue, la misma vulnerabilidad de seguridad que WannaCry, mientras que CPUMiner/EternalMiner usa SambaCry, una vulnerabilidad en la suite de software de interoperabilidad Samba. Linux.MulDrop.14 es un troyano Linux que apunta a dispositivos Raspberry Pi. Estas amenazas infectaron dispositivos y máquinas y las convirtieron en botnets.

Las últimas noticias sobre malware contra criptodivisas son de apenas unos días. Una de ellas se llama Zminer y es un ejecutable descubierto por investigadores de Netskope que se conecta con Amazon S3 para tomar dos cargas llamadas Claymore CryptoNote CPU Miner y Manager.exe. Claymore es la utilidad de mining utilizada para producir Monero, una criptodivisa de código abierto, mientras que Manager.exe supervisa la minería e incluye instrucciones para el programador de tareas de Windows. Parece ser que la novedad es que una vez que Zminer está instalado, busca la manera de desactivar Windows Defender agregando varias claves en el registro del sistema.

Otra amenaza reciente tiene que ver con CoinMinner una familia de cryptocurrency mining que infecta máquinas Windows y que es difícil de detectar porque utiliza varias técnicas para persistir en una máquina infectada, según los investigadores. En primer lugar utiliza la vulnerabilidad de EternalBlue para entrar en un sistema vulnerable de Windows y luego utiliza el toolkit WMI (Instrumental de administración de Windows) para ejecutar comandos maliciosos.