Criptomineros, la nueva epidemia que se cierne sobre las empresas españolas
19/07/2018Publicat a: El Confidencial
Son las cucarachas de Internet: los llaman "criptomineros" y están escondidos por todas partes, chupando la potencia de millones de ordenadores para conseguir mucho dinero. En España, el organismo gubernamental CCN-CERT lleva contabilizadas decenas de incidencias en empresas y administraciones que irán a más en los próximos meses. Los expertos hablan de "epidemia".
El criptominero WannaMine entra en los servidores corporativos por el mismo agujero que entraba el famoso ransomware Wannacry. PandaLabs lo detectó en octubre del año pasado (https://www.pandasecurity.com/spain/mediacenter/malware/wannamine-viral/), cuando empezó a atacar a empresas y organismos españoles y a usar la capacidad de cómputo de sus ordenadores para minar criptomoneda.
El Sistema de Alerta Temprana Internet del CCN-CERT detectó los incidentes provocados por WannaMine, unos 70, en novembre de 2017. Desde entonces, como refleja su informe "Cyberthreats and tendencies executive summary 2018" (https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2997-ccn-cert-ia-09-18-cyberthreats-and-tendencies-executive-summary-2018-1/file.html), los ataques de criptomineros a entidades públicas y privadas españolas se han mantenido en una constante de 40-50 incidencias mensuales hasta marzo, cuando ya fueron 60 y subiendo.
"Lo importante aquí es observar la tendencia de incremento de cryptomining y decremento de ransomware", explica Javier Candau, jefe del Departamento de Ciberseguridad del CCN-CERT. Efectivamente los ataques de ransomware, con sus dramáticos archivos cifrados y mensajes chillones pidiendo rescates, están bajando al mismo tiempo que los "hit parades" del malware mundial son copados por los discretos mineros, que hacen el menor ruido posible para pasar cuanto más tiempo mejor en las máquinas infectadas.
El perjuicio para la empresa es también casi invisible: gasto de electricidad y robo de parte de la capacidad de proceso de sus sistemas; algo que, si están dedicados a tareas críticas, puede ser mayor problema pues estas tareas se ralentizarán o no podrán realizarse. Dani Creus, investigador de Kaspersky Labs, añade el inconveniente de que "tus ordenadores están haciendo algo que tú no quieres que hagan".
La tendencia mundial es de aumento de los ataques de criptomineros a servidores de empresas, universidades y administración, mientras siguen pero se estancan los asaltos masivos a sitios web (https://blog.malwarebytes.com/malwarebytes-news/ctnt-report/2018/07/cybercrime-tactics-techniques-q2-2018/) que usan los ordenadores de los visitantes para minar criptomoneda. Una nueva variante son los enlaces acortados que, mientras nos dirigen al sitio seleccionado, nos hacen minar criptomoneda (https://blog.malwarebytes.com/threat-analysis/2018/07/obfuscated-coinhive-shortlink-reveals-larger-mining-operation).
En abril de este año, el CCN-CERT contabilizaba 121 dominios .es infectados con mineros. Una de estas webs fue la de Movistar, la única empresa de la que se ha sabido públicamente que ha sido víctima del criptominado, el 29 de diciembre de 2017 (https://www.elconfidencial.com/tecnologia/2017-12-29/movistar-mina-criptomonedas-moneros-web-cpu_1499354/). Movistar explicó que habían instalado el minero ellos mismos para hacer unas pruebas y quedó activado por error.
Kaspersky Labs (http://kaspersky.es) tiene cifras más inquietantes: solo el año pasado detectó en España a 11.952 usuarios y 3.552 empresas cuyos ordenadores estaban infectados con criptomineros. Otra empresa de seguridad, Proofpoint (http://proofpoint.com) afirma que en los primeros meses de 2018 han contabilizado "alrededor de 3.500 ordenadores infectados en España, siendo Madrid la ciudad con más infecciones (1.308), seguida de Barcelona (496), Asturias (118) y Málaga (116)".
Otras empresas que prefieren no dar su nombre calculan que, ahora mismo, en las redes españolas "un 23% de los ataques que se reciben contienen algún tipo de mecanismo que, directa o indirectamente, intenta inyectar un criptominero". Y en las administraciones públicas la estadística se dispara al 30%.
Jesús Muñoz, responsable de auditorías de seguridad del Grupo Oesia (http://grupooesia.com/) ha visto ya diversas organizaciones españolas ser víctimas de los mineros: "Se introducen en las empresas hackeándolas, manualmente o con gusanos". Los dispositivos atacados son de todo tipo, desde cámaras de vigilancia conectadas a Internet hasta bases de datos, pasando por servidores web, electrodomésticos o la nube.
Otra forma de ataque a las empresas consiste en enviar correos de phishing masivos a los empleados. Últimamente se han visto emails con adjuntos que simulan ser un documento Word, pero al abrirlo instalan un minero en el ordenador (https://www.techrepublic.com/article/hackers-can-now-hide-cryptojacking-scripts-in-microsoft-word-documents/). Además, afirma Muñoz, "se están produciendo muchos 'auto-hackeos' hechos por autónomos que han hecho la web de la empresa y aprovechan para meterle sus mineros y sacarse un sobresueldo".
XMRing es el criptominero más usado para asaltar servidores corporativos y crear botnets con ellos. Es de código libre y en un año ha subido un 70%, según CheckPoint (https://blog.checkpoint.com/2018/04/13/marchs-wanted-malware-cryptomining-malware-works-even-outside-web-browser-rise/). Uno de sus "hijos", RubyMiner, habría atacado el 30% de las redes corporativas mundiales (https://research.checkpoint.com/rubyminer-cryptominer-affects-30-ww-networks/).
Muñoz habla de "incremento espectacular" que se apuntaba en 2017 y estamos viendo en 2018. Coincide con él Dani Creus, quien considera que la pieza más apetecible para los criptomineros son "las empresas con muchos recursos de computación, por ejemplo que tengan un Centro de Datos, porque así consiguen mayor capacidad computacional".
Según estimaciones de CheckPoint (https://pages.checkpoint.com/rs/750-DQH-528/images/cyber-attach-trends-mid-year-report-2018.pdf) el 42% de organizaciones en todo el mundo, el doble que hace medio año, estarían infectadas. Se han detectado mineros incluso en infraestructuras críticas, como la red de una planta potabilizadora de agua en Europa (http://www.eweek.com/security/water-utility-in-europe-hit-by-cryptocurrency-malware-mining-attack). Entraron en ella a través de un anuncio en una web que consultó un trabajador.
La mayoría de las empresas no saben que tienen mineros dentro, explica Muñoz: "CheckPoint realizó una prueba gratuita a empresas y se detectaron mineros en casi todas, pero ellas no son conscientes ni le ven el impacto económico".
Para colmo, según el informe del CCN-CERT, "se espera que el cryptomining siga creciendo en 2018 a medida que cada vez más familias de "malware" incluyen funcionalidades de minado en sus arsenales de ataque". Esto se está detectando ya en todo tipo de virus para ordenador o móvil, como los troyanos dedicados al robo de credenciales bancarias o los que esclavizan dispositivos para botnets: cuando no están robando o bombardeando, aprovechan para minar Monero o ZCash.
Estas dos monedas virtuales son las más usadas por los criptodelincuentes porque ofrecen total anonimato. Minar significa poner ordenadores a hacer múltiples operaciones matemáticas hasta que den con la solución a un problema dado, siendo el resultado un bloque de la cadena de bloques (blockchain). Cada bloque almacena y sella de forma segura los datos de una transacción realizada con la criptomoneda en cuestión. Por cada bloque resuelto los mineros reciben un premio que, en el caso de Monero, son 12,6 Moneros.
Según las estimaciones de Talos (https://blog.talosintelligence.com/2018/01/malicious-xmr-mining.html), un ordenador estándar puede generar 0,25 dólares de Monero al día. Si el cibercriminal tiene bajo su control 2.000 ordenadores, lo cual no es mucho, puede generar 500 dólares diarios. Una botnet con millones de sistemas infectados ganaría unos 100 millones de dólares al año.
En los últimos meses, la tarjetas gráficas usadas para el minado legítimo se han puesto por las nubes y la solución "lógica" han sido los criptomineros, donde los costes de equipos y electricidad son asumidos por las víctimas.
China, con una gran afición al minado, es la victima número uno de los criptomineros, junto con Japón y la India. Recientemente, 16 personas fueron detenidas en China por instalar mineros en los cafés Internet de 30 ciudades. Y en Japón acabamos de ver la primera condena por criptorobo (https://www.zdnet.com/article/for-the-first-time-remote-cryptojacker-sentenced-for-exploiting-coinhive/): un chico de 24 años pasará un año en prisión por introducir un minero en un videojuego que ofreció en descarga gratuita.
Y esto es solo el principio.
¿CÓMO DEFIENDO MI EMPRESA DE LOS MINEROS?
* Usar extensiones de detección de mineros en los navegadores, como MinerBlock en Chrome y Firefox. Opera los bloquea por defecto.
* Bloquear en los navegadores las aplicaciones basadas en Javascript, dado que es el lenguaje que usan los minadores en la web.
* Pensarlo dos veces antes de abrir un adjunto del correo electrónico.
* Tener los sistemas siempre actualizados y protegidos con antivirus, cortafuegos y otros programas de prevención.
* Monitorizar la red y los sistemas, buscando usos anómalos de los recursos.
* Bloquear el acceso a las direcciones IP y puertos a los que se conectan los criptomineros (todas las empresas antivirus tienen una lista).
MINEROS DETECTADOS EN LAS CIUDADES ESPAÑOLAS (según ProofPoint)
ES ALAVA 14 ES ALBACETE 7 ES ALICANTE 65 ES ALMERIA 26 ES ASTURIAS 118 ES AVILA 4 ES BADAJOZ 25 ES BARCELONA 496 ES BURGOS 21 ES CACERES 11 ES CADIZ 45 ES CANTABRIA 34 ES CASTELLON 25 ES CEUTA 2 ES CIUDAD REAL 27 ES CORDOBA 70 ES CUENCA 3 ES GIRONA 40 ES GRANADA 47 ES GUADALAJARA 10 ES GUIPUZCOA 31 ES HUELVA 22 ES HUESCA 7 ES ISLAS BALEARES 30 ES JAEN 34 ES LA CORUNA 37 ES LA RIOJA 25 ES LAS PALMAS 41 ES LEON 11 ES LERIDA 26 ES LUGO 10 ES MADRID 1308 ES MALAGA 116 ES MELILLA 1 ES MURCIA 75 ES NAVARRA 42 ES ORENSE 9 ES PALENCIA 3 ES PONTEVEDRA 42 ES SALAMANCA 16 ES SANTA CRUZ DE TENERIFE 40 ES SEVILLA 109 ES SORIA 1 ES SPAIN 3 ES TARRAGONA 69 ES TERUEL 2 ES TOLEDO 44 ES VALENCIA 97 ES VALLADOLID 19 ES VIZCAYA 60 ES ZAMORA 2 ES ZARAGOZA 47
Mercè Molist