El minado no autorizado de criptodivisas centra los ataques de febreroEscrito por Redacción TNI el 13/03/2018 a las 18:54:112125
Nuevamente febrero ha sido un mes marcado por la detección de amenazas relacionadas con el minado no autorizado de criptodivisas, con ratios de prevalencia que rozaron este mes el 30%, según se confirma desde el laboratorio de ESET, la mayor empresa de seguridad informática con sede en la Unión Europea. Desde la compañía de ciberseguridad se advierte de que esta tendencia no tiene visos de desaparecer a corto plazo, por lo que resulta esencial tomar medidas al respecto tanto a nivel de usuario como empresarial.
Mineros hasta en la sopa
El fuerte incremento del valor de las criptomonedas ha empujado a muchos cibercriminales a utilizar todo tipo de técnicas basadas en la inyección de código de minado en webs legítimas con el objetivo de obtener beneficios rápidos. Esta tendencia, que se observa desde finales de 2017, se ha ido perfeccionando en las últimas semanas.
“Aprovechando el exploit EternalBlue, responsable de la rápida propagación del malware WannaCry, y el hecho de que muchos sistemas sigan sin aplicar los parches lanzados por Microsoft hace casi un año, algunos delincuentes han infectado un buen número de dispositivos para tenerlos bajo su control dentro de una botnet dedicada, principalmente, a la minería de criptomonedas y de nombre Smominru”, explica Josep Albors, responsable de investigación y concienciación de ESET España.
Los delincuentes no hacen discriminación a la hora de infectar webs, ya que si bien casi la mitad son de contenido pornográfico, se han llegado a encontrar scripts de minado incluso en webs gubernamentales de Estados Unidos y Reino Unido. “Cualquier web que lo desee puede incluir uno de estos scripts para sustituir a la publicidad, pero lo lógico es que antes avise a sus visitantes y que no abuse del uso de recursos, algo que pocas veces sucede”, puntualiza Albors.
La noticia curiosa del mes pasado relacionada con este tema fue la detención en Rusia de varios científicos que habían utilizado un supercomputador ubicado en el Centro Nacional de la Federación Rusa para minar criptodivisas, conectándolo a Internet en el proceso. Además del uso no autorizado de recursos del Estado, se les podría acusar también de conectar a una red pública un sistema que contiene información confidencial.
Sin embargo, para la mayoría de los mortales, la principal amenaza es que los delincuentes utilicen cualquiera de nuestros dispositivos conectados en su propio beneficio, ya sea para minar criptodivisas o con cualquier otra finalidad. Desde el laboratorio de ESET se ha señalado incluso el uso de dispositivos del IoT, especialmente smartphones y Smart TVs Android, para minado ilícito.
El ransomware sigue muy presente
Que el minado no autorizado de criptodivisas sea actualmente la principal tendencia en países como España no significa que otras amenazas hayan desaparecido. “Es cierto que muchos grupos criminales han cambiado o ampliado su negocio y, de hecho, hemos visto que kits de exploits muy conocidos por propagar ransomware hace meses, ahora se dedican a esparcir amenazas relacionadas con la minería”, incide Albors.
Sin embargo, el ransomware sigue muy presente como demuestran las numerosas variantes que siguen apareciendo y los casos de infecciones como el sufrido por el departamento de transportes de Colorado (EEUU) a finales del mes de febrero. Más de 2.000 sistemas se vieron afectados por el ransomware SamSam. Este ransomware, responsable de numerosas infecciones en hospitales, ayuntamientos y empresas durante el mes de enero, ha empezado el año con fuerza.
Otra de las familias más activa este mes ha sido el ransomware GrandCrab. Detectado por primera vez a finales de enero, GrandCrab se ha distribuido mediante el modelo de ransomware como servicio, lo que ha hecho que muchos delincuentes poco especializados lo estén utilizando para conseguir dinero de forma rápida. Suele distribuirse mediante kits de exploit y a través de spam. Los principales países afectados son Brasil, EEUU, India, Indonesia y Pakistán y se evita infectar a aquellos usuarios que vivan en países de la antigua órbita soviética. Por suerte para los afectados, se ha conseguido programar un descifrador para algunas de las variantes de este ransomware que se encuentra disponible en la web “NoMoreRansom.org”, mantenida por grupos policiales y empresas de seguridad de todo el mundo, entre las que se encuentra ESET.
Precisamente el ransomware como servicio es una tendencia en auge entre los delincuentes. De hecho, en las últimas semanas han aparecido nuevas familias que han adoptado este modelo. Un ejemplo más es el del ransomware Saturn cuyos desarrolladores ofrecen la posibilidad de convertirse en distribuidores de este malware y participar en un sistema de afiliados que les permite registrarse en un portal y conseguir hasta un 70% de los pagos realizados por las víctimas.
Vulnerabilidades aprovechadas por los delincuentes
Los fallos de seguridad en sistemas operativos, aplicaciones o en el propio firmware de los dispositivos siguen siendo una de las puertas de entrada favoritas de los delincuentes. Durante febrero el laboratorio de ESET ha registrado numerosos ejemplos. Uno de especial interés sería el descubrimiento de una vulnerabilidad en Flash Player que habría sido supuestamente utilizada durante los últimos meses por Corea del Norte para espiar a sus vecinos del sur.
Tras el análisis de esta vulnerabilidad se descubrió que afectaba a la versión de Flash Player 28.0.0.137 y anteriores en sistemas operativos Windows, MacOS y GNU/Linux, además de a la versión instalada en navegadores Chrome, Microsoft Edge e Internet Explorer. Al parecer, los atacantes incluían un fichero SWF dentro de un documento de Word enviado por email para que, al abrirse, se ejecutase o descargase un malware en el sistema de la víctima.
Gracias a la publicación de su boletín mensual de actualizaciones de seguridad también se supo que Microsoft había solucionado numerosas vulnerabilidades en aplicaciones y sistemas operativos. Las más peligrosas afectaban al gestor de correo Outlook, siendo sorprendente la facilidad con la que un atacante podría ejecutar código malicioso en un sistema vulnerable. La primera de estas vulnerabilidades permitiría a un atacante tomar el control del sistema simplemente con la previsualización de un fichero especialmente modificado, y que venía adjunto al email, siempre que el usuario estuviera registrado con permisos de administrador. La segunda vulnerabilidad crítica no requería siquiera que se previsualizara el mensaje; el envío de un email especialmente modificado provocaría que Outlook intentase cargar el mensaje al ser recibido, permitiendo la ejecución de código automáticamente sin interacción alguna por parte del usuario.
En lo que respecta al navegador MS Edge, se reveló un grave fallo que permitiría a un atacante saltarse las restricciones SOP que incluye y aceptaba solicitudes que deberían ser ignoradas. “A pesar de que la posibilidad de explotación de esta vulnerabilidad es limitada, un ataque dirigido podría obtener información confidencial muy interesante desde el navegador”, explica el responsable de investigación y concienciación de ESET España.
También se ha observado una docena de fallos que provocan corrupción en la memoria del navegador y una vulnerabilidad grave en el componente de Windows Structured Query, que permite la ejecución de código con los permisos del usuario registrado en el sistema. No obstante, en este caso se requiere que la víctima abra un archivo o pulse sobre un enlace que le lleve a una web maliciosa controlada por el atacante.
Tampoco se deben olvidar las vulnerabilidades presentes en millones de dispositivos que forman parte del IoT. Se trata de vulnerabilidades que son aprovechadas por los criminales para usarlas en su propio beneficio. Si en 2016 vimos las posibilidades de una botnet formada por dispositivos IoT, la evolución que ha seguido este malware desde entonces no ha dejado de añadir funcionalidades. Una de las más recientes permite utilizar los dispositivos infectados como servidores proxy, además de lanzar ataques de denegación de servicio distribuidos (DDoS) como hasta ahora. Esto permitiría a los delincuentes utilizar estos dispositivos para camuflar sus conexiones y hacer más difícil detectar desde dónde se lanzan. |