Minería de criptomonedas y su impacto en entornos empresariales en América Latina

El minado de criptomonedas a través de malware se ha convertido en la estrategía preferida de los ciberdelincuentes para monetizar rápida y eficazmente sus esfuerzos. Con el incremento en los precios y los tipos de criptomonedas, así como la dificultad de detección de estos programas, se han dado las condiciones ideales para su aparición en mercados como el latinoamericano

Durante los últimos años las amenazas han evolucionado a una velocidad considerable, casi en términos exponenciales, y es en esta misma medida que las organizaciones tienen un espectro cada vez más amplio para proteger.

Las estrategias orientadas al uso de tecnologías que en otra época eran funcionales han desencadenado en tener una sensación falsa de seguridad. Por ejemplo, cuando las herramientas tradicionales de protección de end point generan una gran cantidad de reportes en donde se señala que se han identificado y limpiado un número significativo de códigos maliciosos hace pensar que se está completamente protegido y resta importancia a mejorar la postura de ciberseguridad.

Lamentablemente de no existir códigos maliciosos que al ser explotados generen un impacto visible a la organización seria casi imposible entender la necesidad de mejorar y/o evolucionar los controles de seguridad existentes.

De ninguna manera se pone en entredicho la necesidad de herramientas como firewalls, antivirus (antimalware), WAF, IPS entre otras. Estas son herramientas que hacen parte de la protección por capas en un modelo de defensa en profundidad; sin embargo, aquellas amenazas que son capaces por medio de una u otra técnica (ofuscamiento, fileless, logical bomb, wrapping entre otras) de evadir los controles básicos requieren también una atención especial, peor aún si estas están de forma silenciosa en la red, quizás teniendo el control de uno o varios equipos, modificando archivos, sacando información, quizás minando criptomonedas o en el peor de los casos interviniendo comunicaciones.

Una de las nuevas tendencias en cuestión de mejoramiento de posturas de ciberseguridad y que esta encaminada de forma bastante acertada en hacer frente a aquellas amenazas que han y siguen evolucionando es el Threat Hunting.

¿Pero que es el threat hunting?  

El threat hunting se puede definir como la continua iteración dentro de la red de datos para la búsqueda de amenazas avanzadas, su posible detección y aislamiento, cuyo resultado debe verse como un análisis proactivo dada la naturaleza del proceso ya descrito.

Es la perspectiva de proactividad la que enmarca la gran diferencia con otro tipo de herramientas que suelen ser mas reactivas, que suelen utilizarse una vez se ha dado el ataque o el incidente.

Se puede ejemplificar de manera muy sencilla a partir de un incidente de seguridad, en donde si se piensa desde la perspectiva reactiva, este (el incidente) se puede dar partiendo de la premisa de un evento que genero un impacto sobre la organización y el cual las diferentes herramientas de seguridad nos permitirían entender lo sucedido, luego afinar los niveles de detección y control, ya sea creando nuevas reglas, activando algún nuevo tipo de funcionalidad o simplemente descargando un paquete extra actualizado de firmas; ahora bien si se piensa desde la perspectiva proactiva o el Threat Hunting, el incidente se da a partir de la recolección y análisis continuo de la actividad normal de la red y sus posibles desviaciones, entendiendo que quizás posibles accesos a archivos del sistema, apertura de puertos, ejecución de powershell, lectura de carpetas, modificación de llaves de registro o simple conectividad con ciertos sitios, pueden ser nuevos indicadores de compromiso y así deben ser tratados después de un proceso arduo de telemetria de seguridad que debe perfilar de la manera mas acertada los equipos, usuarios, redes y/o el tráfico de la compañía.

 Ir  se ha estado hablando de manera recurrente en el mundo de la ciberseguridad de la “minería de criptomonedas” y el impacto de esta para los entornos corporativos. Para entender esto es necesario precisar la definición de criptomoneda:

“Una criptomoneda es un tipo de moneda digital basada en la criptografía. Emplea técnicas de cifrado para generar unidades y verificar sus transacciones en reemplazo de una autoridad central”

Al depender de la criptografía, la generación de estas monedas depende de cálculos de alto nivel de complejidad que requieren la combinación de recursos computacionales. Por esta razón, desde usuarios domésticos hasta empresariales han sido víctimas de la ola de redes de minado de criptomonedas, siendo estos últimos el principal blanco de estas campañas debido al alto poder computacional que tienen para ofrecer sus distintos servicios a sus clientes (p.e. portales transaccionales, ERPs, CRMs, entre otros). Su creación o minería se puede resumir así:

  • El primer paso para hacer minado de criptomonedas es incorporarse a una red que tenga sus bases tecnológicas en el uso de cadena de bloques, más conocida como blockchain. Es posible incorporarse de forma voluntaria o involuntaria: a través de la descarga consentida de software de minado, hasta la infección por malware enviado por un atacante usando distintos medios (correo electrónico, USB, fotos, entre otros). https://www.welivesecurity.com/la-es/2017/07/28/claves-potencia-del-bitcoin/
  • Una vez dentro de una red de minería, la función de cada miembro la ejecución de ciertas operaciones matemáticas complejas que requieren de un poder computacional considerable. Por el aporte y el posible éxito de sus validaciones se le asigna un porcentaje de una criptomoneda. Imaginemos que por prestar nuestro equipo portátil para hacer operaciones matemáticas nos pagaran 100 dólares diarios (asumiendo un gran éxito en los procesos matemáticos allí realizados).
  • Para almacenar las ganancias es necesario tener una bolsa, billetera o “wallet”, en donde serán cargados los porcentajes de criptomonedas resultado del éxito de las validaciones matemáticas.

Para entender la masificación de estas campañas es importante conocer el crecimiento que ha tenido el valor de las criptomonedas durante finales del año 2017

Definitivamente este crecimiento vertiginoso en el precio de las criptomonedas se convirtió en un llamado para los ciberdelincuentes, mostrando que hay oportunidades para ganar dinero. Como resultado, esto generó un cambio en la modalidad de operación de distintos cibercriminales.

El impacto de la minería de criptomonedas quizás no es un tópico tan publicitado en los medios, como si lo fue en su momento los diferentes tipos de variaciones de ransomware, entre ellos el más sonado “Wannacry”; sin embargo, en términos de operación tecnológica para las empresas puede que este tipo de malware (CRIPTOMINADORES) tenga un impacto mayor o igual a un ransomware.

Conociendo la operación de una red de minado de criptomonedas es relativamente sencillo deducir porqué los atacantes se interesan por la ejecución de campañas de minado sobre entornos empresariales. Los dispositivos utilizados para la prestación de servicios a usuarios y/o clientes manejan una gran cantidad de datos, para lo cual se hace necesarios equipos de cómputo bastantes robustos y con grandes prestaciones que pueden ser usadas para incrementar considerablemente la probabilidad de obtener criptomonedas. Es importante tener en cuenta que estos recursos pueden ser aprovechados por terceros con intenciones maliciosas o por personal interno con privilegios de administración sobre estos dispositivos, por lo que los esfuerzos de mitigación implementados deben cubrir el vector interno, el mal uso de los administradores sobre sus dispositivos a cargo, aspecto que en ocasiones no es monitoreado por las organizaciones.

Nuevos mercados de malware: del “secuestro” de información a campañas de minado de criptomonedas

Paradójicamente el tener un ransomware y que este fuese explotado entregaba una certeza, “la máquina había sido comprometida”; sin embargo en el minado de criptomonedas es difícil tener esa certeza: el atacante es mucho más silencioso, el método de infección puede ser similar al de cualquier otro malware (p.e. WannaCry), en donde el pivote de conexión se generaba a partir de un “dropper”[1] que ejecuta el malware con capacidad de ejecutar actividades sobre la máquina objetivo pasando desapercibido e incluso elevando privilegios para acceder a escritura y lectura de información. En muchos casos la misma vulnerabilidad utilizada o explotada para expandir un ransomware es posible utilizarla para propagar el minado de criptomonedas (EternalBlue).

Como es evidente las motivaciones para hacer uso indebido de los recursos tecnológicos no son menores y esta condición establece que un espectro amplio de amenazas crezca de manera exponencial. El mercado de malware ha evolucionado del “secuestro” de información a la generación de capital a través del minado de criptomonedas.

¿Cuáles son las tendencias en la región con respecto al minado de criptomonedas?

El principal problema de la región paradójicamente no es un aspecto tecnológico, es un tema cultural. Por alguna razón las personas suelen pensar que este tipo de incidentes no tienen una afectación local, que es un tópico que solo concierne a países como Estados Unidos, Rusia o China. Eventos recientes han evidenciado ataques de este tipo en entornos corporativos latinoamericanos, enfocados particularmente en países como Brasil, Colombia, México, Perú y Ecuador. El más reciente responde al nombre de PowerGhost.

Tipo de troyano que ha sido diseñado para instalar cualquier tipo de malware sobre un sistema objetivo

Este malware según las investigaciones de varios fabricantes de seguridad y validado desde el ciber laboratorio de ETEK International usa una combinación de PowerShell y propagación vía Ethernalblue (la misma que en muchas ocasiones se utilizó para propagar ransomware).

En los análisis realizados se estableció que este tipo de código es capaz de esconderse detrás de software al parecer legítimo y evadir controles de seguridad. Otros patrones identificados son:

  • Comportamientos maliciosos y apertura de puertos aleatorios.
  • Uso de técnicas de post-explotación como MIMIKATZ para elevar privilegios y buscar otros vectores de propagación (llegando a comprometer hasta credenciales de usuarios y su información).
  • Uso de técnicas de evasión, anti-debugging y anti-sandboxing
  • Otros indicadores de compromiso se relacionan en el anexo de este artículo

Las principales recomendaciones a tener en cuenta para mitigar o tratar este tipo de eventos son:

  • Aplicar de forma regular las actualizaciones de seguridad entregadas por los diferentes fabricantes. Suena repetitivo, pero es la primera medida de prevención aplicable. Estos ataques siguen explotando aquellas vulnerabilidades que han afectado en el pasado de manera masiva a grandes compañías, aún persistentes (ETERNALBLUE) y hacen de una compañía un objetivo de ataque por su nivel de exposición.
  • Evitar el acceso de usuarios a sitios cuya relación de confianza sea baja, y en los cuales se sugiere la instalación de algún tipo de complemento de software.
  • Mantener actualizadas firmas de IPS y antimalware, haciendo campañas periódicas.
  • Implementar modelos de inteligencia de seguridad con correlación de eventos. Pueden ser implementados con distintas soluciones tecnológicas o contratados como servicio gestionados de seguridad a través de un Security Intelligence Center
  • Modelar tráfico de redes, identificando líneas base de comportamiento que permitan resaltar anomalías.
  • Monitorear las acciones ejecutadas sobre dispositivos críticos por parte de administradores y demás usuarios privilegiados.
  • Evaluar periódicamente nuevos servicios de protección que permitan prevenir, detectar y contener este tipo de amenazas. Consulte siempre con su aliado estratégico de seguridad de la información las nuevas tendencias del mercado, esto le permitirá tener los mejores lineamientos de aseguramiento asociado a su negocio.

Anexo

Indicadores de compromiso.

C&C hostnames:

update.7h4uk[.]com

185.128.43.62

info.7h4uk[.]com

Firmas MD5 del malware:

AEEB46A88C9A37FA54CA2B64AE17F248 =  https://threatexplorer.bluecoat.com/v2/tex#/file?q=AEEB46A88C9A37FA54CA2B64AE17F248

4FE2DE6FBB278E56C23E90432F21F6C8 = https://www.virustotal.com/#/file/f90bcf5b649ebb61d1b2a1a973c04312e3e72a71d4393ccbb12b9fa593637d62/detection

71404815F6A0171A29DE46846E78A079 = https://www.virustotal.com/#/file/a467974c13cbee341c08fd0a51c28bf7cc7e482ff078a9d0ed96371b2ced5d95/detection

81E214A4120A4017809F5E7713B7EAC8 = https://www.virustotal.com/#/file/e5d45d5dd213704a6f4a50db85717a6901cfe968eaa6cf9742480cf6c99ee51d/detection

Firmas de contención relacionadas:

HTTP: Microsoft Win32k Elevation of Privilege Vulnerability (CVE-2018-8120).

NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144).

No olvidar todas aquellas relacionadas con la vulnerabilidad MS17-010.

Referencias

Compartir

Share on facebook
Share on twitter
Share on linkedin

Leave a Comment

Thanks for your message , we will reply soon

Message sent

succesfully!

Gracias por tu mensaje , pronto responderemos

¡Mensaje enviado

con éxito!