Kaspersky Lab avisa sobre la expansión y evolución de los mineros maliciosos

Que el minado de criptomonedas se ha convertido en la tendencia de moda dentro del malware es algo que está quedando en evidencia desde hace meses. De hecho en MuySeguridad hemos cubierto en muchas ocasiones sobre el tema.

Aunque hay muchos grupos de cibercriminales que se están apoyando en el minado de critpodivisas para generar ingresos, esta práctica no siempre es llevada de forma malintencionada. Los expertos de Kasperksy Lab, a través de SecureList, confirman el aumento en la utilización del minado de criptodivisas por parte de los cibercriminales. En la entrada se informa que durante el año pasado el malware dedicado a esa actividad no ha parado de subir, algo que se puede comprobar viendo la cantidad de usuarios de soluciones de Kaspersky atacados por mineros maliciosos durante 2017.

Otro aspecto que han detectado es un posible cambio de estrategia generalizado por parte de los cibercriminales. Anteriormente estos se apoyaban sobre todo en el ransomware para conseguir ingresos, ofreciendo una clave para descifrar los ficheros a cambio de pagar un rescate. Los efectos del ransomware quedaban en evidencia nada más ser infectada la computadora de la víctima, ya que esta veía cómo las extensiones (en caso de indicar mostrarlas en Windows) de los ficheros eran modificadas, además de resultar inaccesibles. Lo peor es que en muchas ocasiones los ficheros no pueden ser recuperados de forma gratuita, por lo que el ataque ocasionaba una pérdida irrecuperable para el usuario afectado.

Si el ransomware se muestra como un software agresivo que impacta con fuerza contra el usuario, los mineros maliciosos casi optan por la estrategia contraria, intentando pasar desapercibidos. De hecho, a simple vista la víctima puede no darse cuenta que su computadora está infectada, ya que todo se encuentra aparentemente en orden, con los ficheros en su debido lugar y con las aplicaciones funcionando correctamente, siendo una disminución en el rendimiento lo único que puede percibir. Algunos mineros llegan a consumir hasta el 80% de los recursos de la CPU, por lo que el usuario puede notar que sus juegos de última generación, sin razón aparente, han empezado a rendir mucho menos sobre su ordenador.

En lo que se refiere a los grupos de cibercriminales más activos de los relacionados con el minado de criptodivisas, los expertos de Kaspersky Lab han concluido que el primer puesto se lo lleva Nanopool. Por otro lado, también han descubierto que el 80% de los mineros maliciosos utilizan código abierto procedente de mineros legales, o bien son mineros legales utilizados de forma maliciosa, como es el caso del conocido Coinhive.

Sobre las principales formas de esparcimiento, los actores tras los mineros maliciosos colaboran activamente en programas que se dedican a distribuir Aplicaciones Potencialmente No Deseadas (PUA), sin embargo, también emplean técnicas de ingeniería social, falsas loterías, etc. Otras vías son su inclusión el código de las páginas de un sitio web, con la biblioteca de JavaScript Coinhive a la cabeza. Por otro lado, también se recuerda a malware como WannaMine, que utiliza el exploit de la NSA EternalBlue.

Los expertos han descubierto este año la existencia de un grupo que se centra en grandes organizaciones para utilizar sus recursos computaciones para minar. Después de acceder a la red corporativa y al controlador de dominio, pueden utilizar las políticas del dominio para lanzar código malicioso, pudiendo ser este un script en PowerShell que sigue la siguiente lógica:

• Después de ser lanzado, comprueba los puntos finales pertenecientes a cuentas específicas, como por ejemplo las de personas de niveles superiores o personal de seguridad. En caso de dar cierto como resultado, el script no ejecutará el minero.
• El script también comprueba la información actual de fecha y hora, ejecutando el minero malicioso cuera del horario de trabajo.

Sobre el futuro, los expertos de Kaspersky Lab apuntan a las tecnologías que responden al concepto de blockchain sobre el algoritmo de prueba de espacio (PoSpace/proof-of-space), el cual apuntará sobre todo los servidores de big data, porque al contrario que la prueba de trabajo utilizada por las botnets de minado, la prueba de espacio necesita espacio en disco.

El blockchain sobre el algoritmo PoSpace es un gran centro de datos anónimo y descentralizado que puede ser usado para esparcir malware o contenido ilegal, pudiendo así ocasionar un daño mayor. Los datos irán cifrados y no habrá forma de saber dónde estarán alojados físicamente.