{"id":7169,"date":"2021-07-02T10:45:49","date_gmt":"2021-07-02T10:45:49","guid":{"rendered":"http:\/\/groupgfr.com\/etek\/?p=3694"},"modified":"2021-07-02T10:45:49","modified_gmt":"2021-07-02T10:45:49","slug":"cryptomining-and-the-impact-on-business-environments-in-latin-america-2","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/cryptomining-and-the-impact-on-business-environments-in-latin-america-2\/","title":{"rendered":"Criptominer\u00eda y el impacto en los entornos empresariales de Am\u00e9rica Latina"},"content":{"rendered":"<p>La criptominer\u00eda a trav\u00e9s de malware se ha convertido en la estrategia preferida de los ciberdelincuentes para monetizar sus esfuerzos de manera r\u00e1pida y efectiva. Con el aumento de precios y tipos de criptomonedas, as\u00ed como la dificultad de detectar estos programas, se han creado las condiciones ideales para su aparici\u00f3n en mercados como Latinoam\u00e9rica.<\/p>\n<p>En los \u00faltimos a\u00f1os, las amenazas han evolucionado a una velocidad considerable, casi en t\u00e9rminos exponenciales, y es precisamente en esta medida que las organizaciones tienen un alcance cada vez m\u00e1s amplio que proteger.<\/p>\n<p>Las estrategias dise\u00f1adas para utilizar tecnolog\u00edas que alguna vez fueron funcionales han dado lugar a una falsa sensaci\u00f3n de seguridad. Por ejemplo, cuando las herramientas tradicionales de protecci\u00f3n de endpoints generan una gran cantidad de informes que indican que se ha identificado y limpiado una cantidad significativa de c\u00f3digos maliciosos, sugiere que uno est\u00e1 completamente protegido y socava la importancia de mejorar la postura de ciberseguridad.<\/p>\n<p> Desafortunadamente, si no existe un c\u00f3digo malicioso que, al ser explotado, genere un impacto visible en la organizaci\u00f3n, ser\u00eda casi imposible comprender la necesidad de mejorar y \/ o desarrollar los controles de seguridad existentes. <\/p>\n<p> La necesidad de herramientas como firewalls, antivirus (anti-malware), WAF, IPS y otros no se discute de ninguna manera. Estas son herramientas que forman parte de la protecci\u00f3n en capas en un modelo de defensa en profundidad; sin embargo, aquellas amenazas que sean capaces mediante una u otra t\u00e9cnica (ofuscaci\u00f3n, fileless, bomba l\u00f3gica, encapsulamiento entre otras) de evitar los controles b\u00e1sicos tambi\u00e9n requieren una atenci\u00f3n especial, peor a\u00fan si se encuentran en silencio en la red, quiz\u00e1s tomando el control de una o varias computadoras, modificando archivos, extrayendo informaci\u00f3n, quiz\u00e1s criptominer\u00eda o en el peor de los casos interceptando comunicaciones. <\/p>\n<p> Una de las nuevas tendencias en t\u00e9rminos de mejorar la posici\u00f3n de la ciberseguridad y que est\u00e1 correctamente dise\u00f1ada para hacer frente a aquellas amenazas que han evolucionado y contin\u00faan evolucionando es Threat Hunting. <\/p>\n<p> La caza de amenazas se puede definir como la iteraci\u00f3n continua dentro de la red para buscar amenazas avanzadas, su probable detecci\u00f3n y aislamiento, cuyo resultado debe verse como un an\u00e1lisis proactivo dada la naturaleza del proceso ya descrito. <\/p>\n<p> Este enfoque proactivo cubre la gran brecha con otro tipo de herramientas que suelen ser m\u00e1s reactivas, que suelen utilizarse una vez que ha ocurrido el ataque o incidente. <\/p>\n<p> Se puede explicar f\u00e1cilmente a partir de un incidente de seguridad, si se piensa desde una perspectiva reactiva, este incidente puede suceder partiendo del supuesto de un evento que gener\u00f3 un impacto en la organizaci\u00f3n y que las diferentes herramientas de seguridad nos permitir\u00edan entender qu\u00e9 sucedi\u00f3, luego ajuste los niveles de detecci\u00f3n y control, ya sea creando nuevas reglas, activando alg\u00fan nuevo tipo de funci\u00f3n o simplemente descargando un paquete de firmas actualizado adicional; ahora si pensamos desde la perspectiva proactiva o Threat Hunting, la incidencia parte de la recopilaci\u00f3n y an\u00e1lisis continuo de la actividad normal de la red y sus posibles desviaciones, entendiendo que tal vez sea posible el acceso a archivos del sistema, apertura de puertos, ejecuci\u00f3n de powershell, lectura de carpetas, modificaci\u00f3n de claves de registro o simple conectividad con determinados sitios, pueden ser nuevos indicadores de compromiso y por lo tanto deben ser tratados luego de un intenso proceso de telemetr\u00eda de seguridad que debe perfilar de la manera m\u00e1s precisa los dispositivos, usuarios, redes y \/ o el tr\u00e1fico de la empresa. <\/p>\n<p> Ha habido un debate en curso en el mundo de la ciberseguridad sobre la &#8220;criptominer\u00eda&#8221; y su impacto en los entornos corporativos. Para entender esto, es necesario aclarar la definici\u00f3n de criptomoneda: <\/p>\n<p> \u201cUna criptomoneda es un tipo de moneda digital basada en la criptograf\u00eda. Utiliza t\u00e9cnicas de encriptaci\u00f3n para generar unidades y verificar sus transacciones en sustituci\u00f3n de una autoridad central \u201d<\/p>\n<p> Debido a que se basa en la criptograf\u00eda, la creaci\u00f3n de estas monedas depende de c\u00e1lculos muy complejos que requieren una combinaci\u00f3n de recursos inform\u00e1ticos. Por ello, desde usuarios dom\u00e9sticos hasta usuarios corporativos, todos han sido v\u00edctimas de la ola de redes mineras de criptomonedas, siendo estas \u00faltimas el principal objetivo de estas campa\u00f1as debido al alto poder computacional que tienen para ofrecer sus diferentes servicios a sus clientes. (ej. portales transaccionales, ERPs, CRMs, entre otros). Su creaci\u00f3n se puede resumir de la siguiente manera: <\/p>\n<ul>\n<li> El primer paso en la criptominer\u00eda es unirse a una red que tiene sus bases tecnol\u00f3gicas en el uso de &#038; nbsp; blockchain. Es posible unirse voluntaria o involuntariamente mediante la descarga deliberada de software de miner\u00eda, o incluso mediante la infecci\u00f3n por malware enviado por un atacante por diferentes medios (correo electr\u00f3nico, USB, fotos, entre otros). <a href=\"https:\/\/www.welivesecurity.com\/la-es\/2017\/07\/28\/claves-potencia-del-bitcoin\/\"> https:\/\/www.welivesecurity.com\/la-es\/2017 \/ 07\/28 \/ claves-potencia-del-bitcoin \/ <\/a> <\/li>\n<li> Una vez dentro de una red minera, la funci\u00f3n de cada miembro es ejecutar ciertas operaciones matem\u00e1ticas complejas que requieren una potencia inform\u00e1tica considerable. Para la contribuci\u00f3n y el posible \u00e9xito de sus validaciones, a cada miembro se le asigna un porcentaje de una cripta-moneda. Imaginemos que por proporcionar nuestra computadora port\u00e1til para realizar operaciones matem\u00e1ticas nos pagaron 100 d\u00f3lares al d\u00eda (asumiendo una gran tasa de \u00e9xito en los procesos matem\u00e1ticos realizados). <\/li>\n<li> Para almacenar las ganancias, es necesario tener un bolsillo, o billetera, en el que se recolectar\u00e1n los porcentajes de criptomonedas resultantes del \u00e9xito de los c\u00e1lculos matem\u00e1ticos. <\/li>\n<\/ul>\n<p>Para comprender la naturaleza generalizada de estas campa\u00f1as, es importante estar al tanto del crecimiento en el valor de las criptomon\u00edas a fines de 2017.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/pruebassite.etek.com\/es\/wp-content\/uploads\/2021\/07\/grafica-1024x674-1.jpg\" alt=\"\" width=\"1024\" height=\"674\"><\/p>\n<p>Definitivamente, este precio vertiginoso de las criptomonedas se convirti\u00f3 en una llamada de atenci\u00f3n para los ciberdelincuentes, mostrando que existen oportunidades para ganar dinero. Como resultado, esto gener\u00f3 un cambio en el modus-operandi de diferentes ciberdelincuentes.<\/p>\n<p>Es posible que el impacto de la miner\u00eda de criptomonedas no se anuncie tan bien en los medios en comparaci\u00f3n con los diferentes tipos de variaciones de ransomware (entre ellos, el \u201cWannacry\u201d m\u00e1s rotundo); sin embargo, en t\u00e9rminos de funcionamiento tecnol\u00f3gico para las empresas, este tipo de malware (CRYPTOMINERS) puede tener un impacto mayor o igual al ransomware. <\/p>\n<p> Al comprender el funcionamiento de una red de miner\u00eda de criptomonedas, es relativamente f\u00e1cil deducir por qu\u00e9 los atacantes est\u00e1n interesados \u200b\u200ben ejecutar campa\u00f1as de miner\u00eda en entornos empresariales. Los dispositivos utilizados para la entrega de servicios a usuarios y \/ o clientes manejan una gran cantidad de datos, para lo cual es necesario contar con sistemas inform\u00e1ticos bastante robustos y de alto rendimiento que se puedan utilizar para aumentar considerablemente la probabilidad de obtener criptomonedas. . Es importante tomar en cuenta que estos recursos pueden ser explotados por terceros con intenciones maliciosas o por personal interno con privilegios de administraci\u00f3n en estos dispositivos, por lo que los esfuerzos de mitigaci\u00f3n implementados deben cubrir el vector interno, el mal uso de los administradores en sus dispositivos a cargo. , un \u00e1ngulo que a veces no es supervisado por las organizaciones. <\/p>\n<p> <strong> Nuevos mercados de malware: desde el &#8220;secuestro&#8221; de informaci\u00f3n hasta las campa\u00f1as de cripto miner\u00eda <\/strong> <\/p>\n<p> Ir\u00f3nicamente, tener ransomware y explotarlo proporcionaba certeza, &#8220;el sistema hab\u00eda sido comprometido&#8221;; sin embargo, en la criptominer\u00eda es dif\u00edcil tener ese nivel de certeza: el atacante es mucho m\u00e1s silencioso, el m\u00e9todo de infecci\u00f3n puede ser similar al de cualquier otro malware (por ejemplo, WannaCry), donde el pivote de conexi\u00f3n se gener\u00f3 a partir de un &#8220;dropper&#8221; [1] que ejecuta el malware con la capacidad de ejecutar actividades en el sistema de destino sin ser detectado e incluso elevando los privilegios para escribir y leer informaci\u00f3n. En muchos casos, la misma vulnerabilidad utilizada o explotada para difundir ransomware se puede utilizar para difundir la miner\u00eda criptogr\u00e1fica (EternalBlue). <\/p>\n<p> Claramente, las motivaciones para el mal uso de los recursos tecnol\u00f3gicos no son insignificantes y esta condici\u00f3n establece que un amplio espectro de amenazas crecer\u00e1 exponencialmente. El mercado de malware ha evolucionado de &#8220;secuestrar&#8221; informaci\u00f3n a generar ingresos a trav\u00e9s de la criptominer\u00eda. <\/p>\n<p> <strong> \u00bfCu\u00e1les son las tendencias en la regi\u00f3n con respecto a la criptominer\u00eda? <\/strong> <\/p>\n<p> Ir\u00f3nicamente, el principal problema de la regi\u00f3n no es tecnol\u00f3gico, es un asunto cultural. Por alguna raz\u00f3n la gente tiende a pensar que este tipo de incidentes no tienen un impacto local, que es un tema que solo concierne a pa\u00edses como Estados Unidos, Rusia o China. Eventos recientes han revelado ataques de este tipo en entornos corporativos latinoamericanos, con especial atenci\u00f3n a pa\u00edses como Brasil, Colombia, M\u00e9xico, Per\u00fa y Ecuador. El m\u00e1s reciente se llama PowerGhost. <\/p>\n<p> Este es un tipo de troyano que ha sido dise\u00f1ado para instalar cualquier tipo de malware en un sistema de destino. <\/p>\n<p><img decoding=\"async\" src=\"https:\/\/pruebassite.etek.com\/es\/wp-content\/uploads\/2021\/07\/mapa.jpg\" alt=\"\" width=\"575\" height=\"394\"><\/p>\n<p> Seg\u00fan la investigaci\u00f3n de varios proveedores de seguridad y confirmada por el laboratorio cibern\u00e9tico de ETEK International, este malware usa una combinaci\u00f3n de PowerShell y se propaga a trav\u00e9s de Ethernalblue (el mismo que se usa para propagar ransomware en muchas ocasiones). <\/p>\n<p> En el an\u00e1lisis realizado, se estableci\u00f3 que este tipo de c\u00f3digo es capaz de esconderse detr\u00e1s de software aparentemente leg\u00edtimo y evitar los controles de seguridad. Otros patrones identificados son: <\/p>\n<ul>\n<li> Comportamiento malicioso y apertura de puertos aleatorios. <\/li>\n<li> Uso de t\u00e9cnicas posteriores a la explotaci\u00f3n como MIMIKATZ para elevar los privilegios y buscar otros vectores de propagaci\u00f3n (incluso comprometiendo las credenciales e informaci\u00f3n del usuario). <\/li>\n<li> Uso de t\u00e9cnicas de evasi\u00f3n, anti-depuraci\u00f3n y anti-sandboxing <\/li>\n<li> Otros indicadores de compromiso se enumeran en el ap\u00e9ndice de este art\u00edculo. <\/li>\n<\/ul>\n<p> Las principales recomendaciones a tener en cuenta para mitigar o hacer frente a este tipo de eventos son: <\/p>\n<ul>\n<li> Aplicar peri\u00f3dicamente las actualizaciones de seguridad entregadas por los diferentes proveedores. Suena redundante, pero es la primera medida preventiva que se puede aplicar. Estos ataques contin\u00faan explotando aquellas vulnerabilidades que han afectado masivamente a las grandes empresas en el pasado, que a\u00fan son persistentes (ETERNALBLUE) y hacen de una empresa un objetivo de ataque debido a su nivel de exposici\u00f3n. <\/li>\n<li> Evite que los usuarios accedan a sitios con una calificaci\u00f3n de confianza baja y donde se sugiere la instalaci\u00f3n de alg\u00fan tipo de complemento de software. <\/li>\n<li> Mantenga actualizadas las firmas IPS y antimalware, realizando campa\u00f1as peri\u00f3dicas. <\/li>\n<li> Implemente modelos de inteligencia de seguridad con correlaci\u00f3n de eventos. Pueden implementarse con diferentes soluciones tecnol\u00f3gicas o contratarse como un servicio de seguridad gestionado a trav\u00e9s de un Security Intelligence Center <\/li>\n<li> Modelar el tr\u00e1fico de la red, identificando l\u00edneas de base de comportamiento que permitan marcar las anomal\u00edas. <\/li>\n<li> Supervise las acciones ejecutadas en dispositivos cr\u00edticos por administradores y otros usuarios privilegiados. <\/li>\n<li> Evaluar peri\u00f3dicamente nuevos servicios de protecci\u00f3n para prevenir, detectar y contener este tipo de amenazas. Siempre consulte con su socio estrat\u00e9gico de seguridad de la informaci\u00f3n para conocer las nuevas tendencias del mercado, esto le permitir\u00e1 tener las mejores pautas de seguridad relacionadas con su negocio. <\/li>\n<\/ul>\n<p><strong>Ap\u00e9ndice<\/strong><\/p>\n<p><strong>Indicadores de compromiso.<\/strong><\/p>\n<p><strong>C&amp;C hostnames:<\/strong><\/p>\n<p>update.7h4uk[.]com<\/p>\n<p>185.128.43.62<\/p>\n<p>info.7h4uk[.]com<\/p>\n<p><strong>Malware MD5:<\/strong><\/p>\n<p>AEEB46A88C9A37FA54CA2B64AE17F248 =&nbsp; <a href=\"https:\/\/threatexplorer.bluecoat.com\/v2\/tex#\/file?q=AEEB46A88C9A37FA54CA2B64AE17F248\">https:\/\/threatexplorer.bluecoat.com\/v2\/tex#\/file?q=AEEB46A88C9A37FA54CA2B64AE17F248<\/a><\/p>\n<p>4FE2DE6FBB278E56C23E90432F21F6C8 = <a style=\"color: #0000ff;\" href=\"https:\/\/www.virustotal.com\/#\/file\/f90bcf5b649ebb61d1b2a1a973c04312e3e72a71d4393ccbb12b9fa593637d62\/detection\">https:\/\/www.virustotal.com\/#\/file\/f90bcf5b649ebb61d1b2a1a973c04312e3e72a71d4393ccbb12b9fa593637d62\/detection<\/a><\/p>\n<p>71404815F6A0171A29DE46846E78A079 = <a href=\"https:\/\/www.virustotal.com\/#\/file\/a467974c13cbee341c08fd0a51c28bf7cc7e482ff078a9d0ed96371b2ced5d95\/detection\">https:\/\/www.virustotal.com\/#\/file\/a467974c13cbee341c08fd0a51c28bf7cc7e482ff078a9d0ed96371b2ced5d95\/detection<\/a><\/p>\n<p>81E214A4120A4017809F5E7713B7EAC8 = <a style=\"color: #0000ff;\" href=\"https:\/\/www.virustotal.com\/#\/file\/e5d45d5dd213704a6f4a50db85717a6901cfe968eaa6cf9742480cf6c99ee51d\/detection\">https:\/\/www.virustotal.com\/#\/file\/e5d45d5dd213704a6f4a50db85717a6901cfe968eaa6cf9742480cf6c99ee51d\/detection<\/a><\/p>\n<p><strong>Related containment signatures:<\/strong><\/p>\n<p>HTTP: Microsoft Win32k Elevation of Privilege Vulnerability (CVE-2018-8120).<\/p>\n<p>NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144).<\/p>\n<p>Don\u2019t forget all those related to vulnerability MS17-010.<\/p>\n<p><strong>References<\/strong><\/p>\n<p>Mining is the new black \u2013 <a href=\"https:\/\/securelist.com\/mining-is-the-new-black\/84232\/\">https:\/\/securelist.com\/mining-is-the-new-black\/84232\/<\/a><\/p>\n<p>A mining multitool \u2013 <a style=\"color: #0000ff;\" href=\"https:\/\/securelist.com\/a-mining-multitool\/86950\/\">https:\/\/securelist.com\/a-mining-multitool\/86950\/<\/a><\/p>\n<p>Fileless Malware PowerGhost Targets Corporate Systems \u2013<a href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/cybercrime-and-digital-threats\/fileless-malware-powerghost-targets-corporate-systems\">https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/cybercrime-and-digital-threats\/fileless-malware-powerghost-targets-corporate-systems<\/a><\/p>\n<p>PowerGhost: nuevo minero de criptomonedas apunta a redes corporativas de Am\u00e9rica Latina \u2013 <a href=\"https:\/\/latam.kaspersky.com\/blog\/powerghost-nuevo-minero-de-criptomonedas-apunta-a-redes-corporativas-de-america-latina\/13206\/\">https:\/\/latam.kaspersky.com\/blog\/powerghost-nuevo-minero-de-criptomonedas-apunta-a-redes-corporativas-de-america-latina\/13206\/<\/a><\/p>\n<p>5 claves para entender la potencia del bitcoin \u2013 <a href=\"https:\/\/www.welivesecurity.com\/la-es\/2017\/07\/28\/claves-potencia-del-bitcoin\/\">https:\/\/www.welivesecurity.com\/la-es\/2017\/07\/28\/claves-potencia-del-bitcoin\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La criptominer\u00eda a trav\u00e9s de malware se ha convertido en la estrategia preferida de los ciberdelincuentes para monetizar sus esfuerzos de manera r\u00e1pida y efectiva. Con el aumento de precios y tipos de criptomonedas, as\u00ed como la dificultad de detectar estos programas, se han creado las condiciones ideales para su aparici\u00f3n en mercados como Latinoam\u00e9rica. [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":3695,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/7169"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=7169"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/7169\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=7169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=7169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=7169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}