Qué puede hacer una empresa contra los mineros maliciosos de criptodivisas

Los mineros maliciosos se han convertido en el malware de moda entre los ciberdelincuentes, que han visto cómo se ha convertido en una vía para generar ingresos de forma más inadvertida y segura que otras como el agresivo ransomware. Aunque en un principio se apuntó hacia los usuarios finales, en los últimos tiempos se está detectando un mayor enfoque hacia las empresas para aprovecharse de la mayor potencia computacional de los servidores.

Viendo que las empresas cada vez están más afectadas por el minado malicioso de criptodivisas, los expertos de Check Point han publicado una serie de consejos a tener en cuenta para evitar que un programa de este tipo termine mermando su actividad normal, evitando así pérdidas económicas. Desde la compañía de ciberseguridad señalan tres puntos claves en los que impactan los mineros maliciosos:

• Consumo de recurso excesivo en el servidor.
• Reducción de la productividad del usuario.
• Impacto negativo en la reputación de la empresa o en la satisfacción del cliente.

Las empresas pueden hacer bastante para evitar que un minero malicioso termine mermando o tumbando su actividad. Los expertos de Check Point señalan las siguientes.

Parchear todos los sistemas y aplicaciones

Aplicar los parches de seguridad es una buena práctica si se quiere evitar los ataques por malware, no solo de los mineros maliciosos, sino también de otros tipos como el ransomware. Por ejemplo, la falta de una política de aplicación de parches diligente en muchas empresas fue el motivo del gran impacto que llegó a tener WannaCry.

Sin embargo, el parcheo y endurecimiento total en tiempo real no es algo práctico en la mayoría de los entornos empresariales, algo a lo que hay que sumar las vulnerabilidades descubiertas por cibercriminales que no han sido difundidas.

Implementar parcheo virtual mediante un ISP (Sistema de Prevención de Intrusiones)

La tecnología ISP ofrece una capa virtual de parcheo colocada en la parte frontal de los sistemas, servidores y endpoints de la organización. Un ISP competente puede evitar la mayoría de los ataques provocados por mineros maliciosos mediante el bloqueo de la explotación de los sistemas, incluso si estos son se encuentran totalmente parcheados.

Además de los servidores, sería recomendable que el ISP también proporcione protección para los usuarios, bloqueando los sitios web que contienen bibliotecas de JavaScript para minar como Coinhive.

Usar protección avanzada contra el malware zero-day

En otro estudio llevado a cabo por Check Point, se descubrió como un grupo de cibercriminales consiguió minar por un valor de 3 millones de dólares ejecutando mineros maliciosos contra los servidores de Jenkins. Este tipo de campañas, que pasan muchas veces inadvertidas, permiten a los cibercriminales conseguir mucho dinero mediante la utilización de técnicas de evasión, las cuales no suelen ser detectadas por las soluciones de protección convencionales.

Las mejores soluciones para protegerse del malware zero-day se apoya en el aislamiento (sandboxing), no requiriendo de firmas y pudiendo identificar el malware zero-day y el desconocido, incluyendo a los mineros maliciosos que implementan tácticas de evasión.

Proteger los activos en la nube

Los mineros maliciosos tienen una fuerte tendencia de intentar tomar el control de los servidores en la nube, ya que las posibilidades de autoescalado de esta tecnología encajan perfectamente con su demanda de potencia de CPU.

Debido a que el minero consume un porcentaje importante de la potencia de CPU disponible, la plataforma en la nube generará automáticamente más instancias, permitiendo que la infección vaya ganando escalabilidad.

Estos entornos también abren la puerta a otro tipo de vector de ataque: la obtención de cuentas. Las cuentas de la nube son penetradas por hackers que obtienen o adivinan las credenciales de acceso, pudiendo así infectar las instancias en la nube de forma más fácil. Soluciones como CloudGuard permiten protegerse de estos vectores de ataque.

Cómo detectar mineros maliciosos

Desde Check Point apuntan a dos formas de poder detectar los mineros maliciosos:

• Monitorizar el uso de la CPU: Etiquetada como difícil por la compañía de ciberseguridad, un uso anormal de la CPU puede ser un indicativo de que la infraestructura de la empresa está infectada por un minero malicioso. Sin embargo, averiguar esto resulta poco práctico, complejo, requiere mucho tiempo y se puede escalar de forma eficiente.
• Utilizar un antibot: Esta es la solución recomendada por Check Point. Los mineros maliciosos reciben órdenes de servidores de mando y control, por lo que el ordenador infectado prácticamente se convierte en un bot. El tráfico con el servidor de mando y control puede ser detectado y bloqueado, mostrando un aviso a la organización de que hay una infección que debe ser resuelta y deteniendo la actividad del minero.