La criptominería a través de malware se ha convertido en la estrategia preferida de los ciberdelincuentes para monetizar sus esfuerzos de manera rápida y efectiva. Con el aumento de precios y tipos de criptomonedas, así como la dificultad de detectar estos programas, se han creado las condiciones ideales para su aparición en mercados como Latinoamérica.

En los últimos años, las amenazas han evolucionado a una velocidad considerable, casi en términos exponenciales, y es precisamente en esta medida que las organizaciones tienen un alcance cada vez más amplio que proteger.

Las estrategias diseñadas para utilizar tecnologías que alguna vez fueron funcionales han dado lugar a una falsa sensación de seguridad. Por ejemplo, cuando las herramientas tradicionales de protección de endpoints generan una gran cantidad de informes que indican que se ha identificado y limpiado una cantidad significativa de códigos maliciosos, sugiere que uno está completamente protegido y socava la importancia de mejorar la postura de ciberseguridad.

Desafortunadamente, si no existe un código malicioso que, al ser explotado, genere un impacto visible en la organización, sería casi imposible comprender la necesidad de mejorar y / o desarrollar los controles de seguridad existentes.

La necesidad de herramientas como firewalls, antivirus (anti-malware), WAF, IPS y otros no se discute de ninguna manera. Estas son herramientas que forman parte de la protección en capas en un modelo de defensa en profundidad; sin embargo, aquellas amenazas que sean capaces mediante una u otra técnica (ofuscación, fileless, bomba lógica, encapsulamiento entre otras) de evitar los controles básicos también requieren una atención especial, peor aún si se encuentran en silencio en la red, quizás tomando el control de una o varias computadoras, modificando archivos, extrayendo información, quizás criptominería o en el peor de los casos interceptando comunicaciones.

Una de las nuevas tendencias en términos de mejorar la posición de la ciberseguridad y que está correctamente diseñada para hacer frente a aquellas amenazas que han evolucionado y continúan evolucionando es Threat Hunting.

La caza de amenazas se puede definir como la iteración continua dentro de la red para buscar amenazas avanzadas, su probable detección y aislamiento, cuyo resultado debe verse como un análisis proactivo dada la naturaleza del proceso ya descrito.

Este enfoque proactivo cubre la gran brecha con otro tipo de herramientas que suelen ser más reactivas, que suelen utilizarse una vez que ha ocurrido el ataque o incidente.

Se puede explicar fácilmente a partir de un incidente de seguridad, si se piensa desde una perspectiva reactiva, este incidente puede suceder partiendo del supuesto de un evento que generó un impacto en la organización y que las diferentes herramientas de seguridad nos permitirían entender qué sucedió, luego ajuste los niveles de detección y control, ya sea creando nuevas reglas, activando algún nuevo tipo de función o simplemente descargando un paquete de firmas actualizado adicional; ahora si pensamos desde la perspectiva proactiva o Threat Hunting, la incidencia parte de la recopilación y análisis continuo de la actividad normal de la red y sus posibles desviaciones, entendiendo que tal vez sea posible el acceso a archivos del sistema, apertura de puertos, ejecución de powershell, lectura de carpetas, modificación de claves de registro o simple conectividad con determinados sitios, pueden ser nuevos indicadores de compromiso y por lo tanto deben ser tratados luego de un intenso proceso de telemetría de seguridad que debe perfilar de la manera más precisa los dispositivos, usuarios, redes y / o el tráfico de la empresa.

Ha habido un debate en curso en el mundo de la ciberseguridad sobre la “criptominería” y su impacto en los entornos corporativos. Para entender esto, es necesario aclarar la definición de criptomoneda:

“Una criptomoneda es un tipo de moneda digital basada en la criptografía. Utiliza técnicas de encriptación para generar unidades y verificar sus transacciones en sustitución de una autoridad central ”

Debido a que se basa en la criptografía, la creación de estas monedas depende de cálculos muy complejos que requieren una combinación de recursos informáticos. Por ello, desde usuarios domésticos hasta usuarios corporativos, todos han sido víctimas de la ola de redes mineras de criptomonedas, siendo estas últimas el principal objetivo de estas campañas debido al alto poder computacional que tienen para ofrecer sus diferentes servicios a sus clientes. (ej. portales transaccionales, ERPs, CRMs, entre otros). Su creación se puede resumir de la siguiente manera:

  • El primer paso en la criptominería es unirse a una red que tiene sus bases tecnológicas en el uso de & nbsp; blockchain. Es posible unirse voluntaria o involuntariamente mediante la descarga deliberada de software de minería, o incluso mediante la infección por malware enviado por un atacante por diferentes medios (correo electrónico, USB, fotos, entre otros). https://www.welivesecurity.com/la-es/2017 / 07/28 / claves-potencia-del-bitcoin /
  • Una vez dentro de una red minera, la función de cada miembro es ejecutar ciertas operaciones matemáticas complejas que requieren una potencia informática considerable. Para la contribución y el posible éxito de sus validaciones, a cada miembro se le asigna un porcentaje de una cripta-moneda. Imaginemos que por proporcionar nuestra computadora portátil para realizar operaciones matemáticas nos pagaron 100 dólares al día (asumiendo una gran tasa de éxito en los procesos matemáticos realizados).
  • Para almacenar las ganancias, es necesario tener un bolsillo, o billetera, en el que se recolectarán los porcentajes de criptomonedas resultantes del éxito de los cálculos matemáticos.

Para comprender la naturaleza generalizada de estas campañas, es importante estar al tanto del crecimiento en el valor de las criptomonías a fines de 2017.

Definitivamente, este precio vertiginoso de las criptomonedas se convirtió en una llamada de atención para los ciberdelincuentes, mostrando que existen oportunidades para ganar dinero. Como resultado, esto generó un cambio en el modus-operandi de diferentes ciberdelincuentes.

Es posible que el impacto de la minería de criptomonedas no se anuncie tan bien en los medios en comparación con los diferentes tipos de variaciones de ransomware (entre ellos, el “Wannacry” más rotundo); sin embargo, en términos de funcionamiento tecnológico para las empresas, este tipo de malware (CRYPTOMINERS) puede tener un impacto mayor o igual al ransomware.

Al comprender el funcionamiento de una red de minería de criptomonedas, es relativamente fácil deducir por qué los atacantes están interesados ​​en ejecutar campañas de minería en entornos empresariales. Los dispositivos utilizados para la entrega de servicios a usuarios y / o clientes manejan una gran cantidad de datos, para lo cual es necesario contar con sistemas informáticos bastante robustos y de alto rendimiento que se puedan utilizar para aumentar considerablemente la probabilidad de obtener criptomonedas. . Es importante tomar en cuenta que estos recursos pueden ser explotados por terceros con intenciones maliciosas o por personal interno con privilegios de administración en estos dispositivos, por lo que los esfuerzos de mitigación implementados deben cubrir el vector interno, el mal uso de los administradores en sus dispositivos a cargo. , un ángulo que a veces no es supervisado por las organizaciones.

Nuevos mercados de malware: desde el “secuestro” de información hasta las campañas de cripto minería

Irónicamente, tener ransomware y explotarlo proporcionaba certeza, “el sistema había sido comprometido”; sin embargo, en la criptominería es difícil tener ese nivel de certeza: el atacante es mucho más silencioso, el método de infección puede ser similar al de cualquier otro malware (por ejemplo, WannaCry), donde el pivote de conexión se generó a partir de un “dropper” [1] que ejecuta el malware con la capacidad de ejecutar actividades en el sistema de destino sin ser detectado e incluso elevando los privilegios para escribir y leer información. En muchos casos, la misma vulnerabilidad utilizada o explotada para difundir ransomware se puede utilizar para difundir la minería criptográfica (EternalBlue).

Claramente, las motivaciones para el mal uso de los recursos tecnológicos no son insignificantes y esta condición establece que un amplio espectro de amenazas crecerá exponencialmente. El mercado de malware ha evolucionado de “secuestrar” información a generar ingresos a través de la criptominería.

¿Cuáles son las tendencias en la región con respecto a la criptominería?

Irónicamente, el principal problema de la región no es tecnológico, es un asunto cultural. Por alguna razón la gente tiende a pensar que este tipo de incidentes no tienen un impacto local, que es un tema que solo concierne a países como Estados Unidos, Rusia o China. Eventos recientes han revelado ataques de este tipo en entornos corporativos latinoamericanos, con especial atención a países como Brasil, Colombia, México, Perú y Ecuador. El más reciente se llama PowerGhost.

Este es un tipo de troyano que ha sido diseñado para instalar cualquier tipo de malware en un sistema de destino.

Según la investigación de varios proveedores de seguridad y confirmada por el laboratorio cibernético de ETEK International, este malware usa una combinación de PowerShell y se propaga a través de Ethernalblue (el mismo que se usa para propagar ransomware en muchas ocasiones).

En el análisis realizado, se estableció que este tipo de código es capaz de esconderse detrás de software aparentemente legítimo y evitar los controles de seguridad. Otros patrones identificados son:

  • Comportamiento malicioso y apertura de puertos aleatorios.
  • Uso de técnicas posteriores a la explotación como MIMIKATZ para elevar los privilegios y buscar otros vectores de propagación (incluso comprometiendo las credenciales e información del usuario).
  • Uso de técnicas de evasión, anti-depuración y anti-sandboxing
  • Otros indicadores de compromiso se enumeran en el apéndice de este artículo.

Las principales recomendaciones a tener en cuenta para mitigar o hacer frente a este tipo de eventos son:

  • Aplicar periódicamente las actualizaciones de seguridad entregadas por los diferentes proveedores. Suena redundante, pero es la primera medida preventiva que se puede aplicar. Estos ataques continúan explotando aquellas vulnerabilidades que han afectado masivamente a las grandes empresas en el pasado, que aún son persistentes (ETERNALBLUE) y hacen de una empresa un objetivo de ataque debido a su nivel de exposición.
  • Evite que los usuarios accedan a sitios con una calificación de confianza baja y donde se sugiere la instalación de algún tipo de complemento de software.
  • Mantenga actualizadas las firmas IPS y antimalware, realizando campañas periódicas.
  • Implemente modelos de inteligencia de seguridad con correlación de eventos. Pueden implementarse con diferentes soluciones tecnológicas o contratarse como un servicio de seguridad gestionado a través de un Security Intelligence Center
  • Modelar el tráfico de la red, identificando líneas de base de comportamiento que permitan marcar las anomalías.
  • Supervise las acciones ejecutadas en dispositivos críticos por administradores y otros usuarios privilegiados.
  • Evaluar periódicamente nuevos servicios de protección para prevenir, detectar y contener este tipo de amenazas. Siempre consulte con su socio estratégico de seguridad de la información para conocer las nuevas tendencias del mercado, esto le permitirá tener las mejores pautas de seguridad relacionadas con su negocio.

Apéndice

Indicadores de compromiso.

C&C hostnames:

update.7h4uk[.]com

185.128.43.62

info.7h4uk[.]com

Malware MD5:

AEEB46A88C9A37FA54CA2B64AE17F248 =  https://threatexplorer.bluecoat.com/v2/tex#/file?q=AEEB46A88C9A37FA54CA2B64AE17F248

4FE2DE6FBB278E56C23E90432F21F6C8 = https://www.virustotal.com/#/file/f90bcf5b649ebb61d1b2a1a973c04312e3e72a71d4393ccbb12b9fa593637d62/detection

71404815F6A0171A29DE46846E78A079 = https://www.virustotal.com/#/file/a467974c13cbee341c08fd0a51c28bf7cc7e482ff078a9d0ed96371b2ced5d95/detection

81E214A4120A4017809F5E7713B7EAC8 = https://www.virustotal.com/#/file/e5d45d5dd213704a6f4a50db85717a6901cfe968eaa6cf9742480cf6c99ee51d/detection

Related containment signatures:

HTTP: Microsoft Win32k Elevation of Privilege Vulnerability (CVE-2018-8120).

NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144).

Don’t forget all those related to vulnerability MS17-010.

References

Mining is the new black – https://securelist.com/mining-is-the-new-black/84232/

A mining multitool – https://securelist.com/a-mining-multitool/86950/

Fileless Malware PowerGhost Targets Corporate Systems –https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/fileless-malware-powerghost-targets-corporate-systems

PowerGhost: nuevo minero de criptomonedas apunta a redes corporativas de América Latina – https://latam.kaspersky.com/blog/powerghost-nuevo-minero-de-criptomonedas-apunta-a-redes-corporativas-de-america-latina/13206/

5 claves para entender la potencia del bitcoin – https://www.welivesecurity.com/la-es/2017/07/28/claves-potencia-del-bitcoin/