Cómo detectar y derrotar a los criptomineros en su red

Chinnapong / Shutterstock

La minería de criptomonedas no es ilegal. Pero usar una computadora o una red para hacerlo sin permiso sí lo es. Aquí le mostramos cómo saber si alguien está criptojacking sus activos para su propio beneficio.

Índice de contenidos
  1. Criptomonedas y la necesidad de minar
  2. Industria minera a gran escala
  3. Cómo detectar la minería de criptomonedas
  4. Bloquear criptomonedas
  5. Como siempre…

Criptomonedas y la necesidad de minar

Los tokens virtuales que utilizan las criptomonedas como monedas se acuñan cuando se han resuelto una gran cantidad de problemas matemáticos muy complejos. El esfuerzo computacional requerido para resolver estos problemas es enorme.

Es un esfuerzo de colaboración, con muchas computadoras conectadas entre sí para formar una plataforma informática distribuida llamada grupo. Resolver problemas matemáticos o contribuir a su solución se llama minería. El registro de transacciones en criptomonedas, como compras y pagos, también requiere minería. La recompensa por la minería es una pequeña cantidad de criptomonedas.

Con el tiempo, se vuelve más difícil acuñar monedas nuevas. Cada criptomoneda acuña una cantidad predeterminada de monedas a lo largo de la vida de la moneda. A medida que se crean más y más monedas y quedan menos por crear, aumenta el esfuerzo requerido para extraer y acuñar nuevas monedas. Atrás quedaron los días en los que era posible ganar dinero con criptomonedas a pequeña escala. La cantidad de electricidad que usa borra su pequeña ganancia de criptomonedas.

La criptominería rentable requiere plataformas especializadas e incluso granjas de máquinas completas. Los costos de hardware deben recuperarse y los costos de funcionamiento compensados ​​permanentemente, por lo que incluso entonces no todo es dinero gratis. A menos, por supuesto, que esté utilizando los recursos informáticos de otra persona para realizar su extracción. Usar los activos de TI de otra persona sin autorización es un delito, pero no disuade a los ciberdelincuentes.

Mediante ataques de phishing o sitios web infectados, pueden instalar fácilmente malware de cifrado sin su conocimiento y robar electricidad y ciclos de CPU. Otra forma de cifrar su centavo es infectar sitios web para que los navegadores de los visitantes se unan a un grupo de cifrado y ejecuten scripts de cifrado JavaScript. Cualquiera que sea el método que utilicen los actores de amenazas, se llama criptojacking y les permite obtener ganancias mientras enfrentan facturas más altas y un rendimiento más bajo.

A medida que intentan comprometer tantas computadoras como sea posible en tantas organizaciones como sea posible, su grupo de computadoras se vuelve grande y poderoso. Este poder significa que pueden contribuir materialmente a los procesos mineros y ser recompensados.

RELACIONADO: Explicación de los mineros de criptomonedas: por qué realmente no quieres esta basura en tu PC

Industria minera a gran escala

La criptominería incluso ha sido utilizada por grupos avanzados de amenazas persistentes y otros actores de amenazas patrocinados por el estado. Microsoft describió en un blog de seguridad cómo un grupo de ciberespionaje patrocinado por el estado agregó el criptojacking a sus formas habituales de actividad delictiva.

Llevaron a cabo ataques generalizados en Francia y Vietnam, desplegando criptomineros para minar la popular criptomoneda Monero. La minería de criptomonedas a gran escala como esta garantiza que será rentable.

Cómo detectar la minería de criptomonedas

Si usted o sus usuarios notan una caída en el rendimiento de la computadora o del servidor y esas máquinas tienen una carga constante de CPU y actividad del ventilador, podría ser una indicación de que se está produciendo un cryptojacking.

A veces, los parches de aplicaciones o sistemas operativos mal escritos y probados pueden tener efectos adversos que comparten los mismos síntomas. Pero si ve una cantidad repentina y generalizada de computadoras afectadas y no se han implementado parches planificados, es probable que se trate de un cryptojacking.

Algunos de los software de criptojacking más inteligentes limitan la carga de la CPU cuando detecta un cierto umbral de actividad legítima del usuario. Esto hace que sea más difícil de detectar, pero también introduce un nuevo indicador. Si la CPU y los ventiladores aumentan cuando nada o muy poco sucede en la computadora, exactamente lo contrario de lo que cabría esperar, entonces es probable que se trate de un cryptojacking.

El software de criptojacking también puede intentar integrarse pretendiendo ser un proceso que pertenece a una aplicación legítima. Pueden utilizar técnicas como la descarga de DLL, en la que una DLL maliciosa reemplaza a una DLL legítima. La DLL es llamada por buena fe aplicación cuando se inicia, oa doble aplicación que se descargó detrás de escena.

Una vez llamada, la DLL fraudulenta inicia un proceso de criptominería. Si se detecta y analiza una alta carga de CPU, parece que una aplicación legítima se comporta de manera anormal y funciona mal.

Con tales medidas tomadas por los autores de malware, ¿cómo se puede reconocer el cryptojacking por lo que es y no confundirlo con una aplicación incorrecta pero "normal"?

Una forma es examinar los registros de los dispositivos de red, como firewalls, servidores DNS y servidores proxy, y buscar conexiones a grupos criptográficos conocidos. Obtenga listas de conexiones utilizadas por criptomineros y bloquéelas. Por ejemplo, estos patrones bloquearán la mayoría de los grupos de criptominería de Monero:

  • * xmr. *
  • * pool.com
  • * pool.org
  • piscina.*

Lo contrario de esta táctica es limitar las conexiones externas a puntos finales conocidos y válidos, pero con una infraestructura centrada en la nube que es significativamente más difícil. No es imposible, pero requerirá una revisión y un mantenimiento constantes para asegurarse de que los recursos legítimos no estén bloqueados.

Los proveedores de servicios en la nube pueden realizar cambios que afecten la forma en que los ve el mundo exterior. Microsoft mantiene una lista útil de todos los rangos de direcciones IP de Azure, que actualiza semanalmente. No todos los proveedores de servicios en la nube son tan organizados o reflexivos.

Bloquear criptomonedas

Los navegadores populares admiten extensiones que pueden bloquear la criptominería en el navegador web. Algunos bloqueadores de anuncios tienen la capacidad de detectar y detener la ejecución de procesos de cifrado de JavaScript.

Microsoft está experimentando con una nueva función en el navegador Edge, cuyo nombre en código es Super Duper Secure Mode. Esto reduce en gran medida la superficie de ataque del navegador al deshabilitar por completo la compilación Just in Time dentro del motor V8 JavaScript.

Esto ralentiza el rendimiento, al menos en papel, pero elimina un nivel significativo de complejidad del navegador. La complejidad es donde entran en juego los errores. Y los errores conducen a vulnerabilidades que, si se explotan, conducen a sistemas comprometidos. Muchos evaluadores informan que no se notan ralentizaciones en el uso de las versiones de prueba de Edge. Su kilometraje puede variar, por supuesto. Si utiliza habitualmente aplicaciones web muy intensas, probablemente verá algo de lentitud. Pero la mayoría de las personas eligen la seguridad en lugar de pequeñas mejoras de rendimiento en todo momento.

Como siempre…

Es mejor prevenir que curar. Una buena higiene cibernética comienza con la educación. Asegúrese de que su personal pueda reconocer las técnicas típicas de ataque de phishing y los signos reveladores. Asegúrese de que se sientan cómodos al plantear sus inquietudes y anímelos a informar sobre comunicaciones sospechosas, archivos adjuntos o comportamiento del sistema.

Utilice siempre la autenticación de dos o más factores si está disponible.

Asigne privilegios de red utilizando el principio de privilegio mínimo. Asigne privilegios para que las personas tengan acceso y la libertad de desempeñar su papel y nada más.

Implemente el filtrado de correo electrónico para bloquear correos electrónicos de phishing y correos electrónicos con características sospechosas, como direcciones falsificadas. Los diferentes sistemas obviamente tienen diferentes capacidades. Si su plataforma de correo electrónico puede verificar los enlaces en los textos del cuerpo del correo electrónico antes de que el usuario pueda hacer clic en ellos, mucho mejor.

Verifique los registros de firewall, proxy y DNS y busque conexiones inexplicables. Las herramientas automatizadas pueden ayudar con esto. Bloquear el acceso a grupos de criptominería conocidos.

Evita la ejecución automática de macros y procesos de instalación.

Descubre más contenido

Subir Change privacy settings