Criptojackers aficionados y Apple Macs emergen como dos tendencias de malware de minería para 2018

2017 fue un gran año para el criptojacking. Se incrementó en un 8 500 por ciento, según las cifras publicadas por Symantec en marzo. De igual modo, parece que 2018 ha sido hasta ahora un año aún más importante para el malware de minería, tal y como reveló el informe de la Cyber Threat Alliance del 7 de septiembre que, a partir del 1° de enero, el criptojacking todavía puede aumentar en un 500 por ciento más.

Sin embargo, debajo de este simple esquema de crecimiento, hay un panorama más grande y complicado. Si bien los informes de algunos sectores que muestran que la detección de malware para la minería aumentó en los dos primeros trimestres de 2018, otros informes sugieren que, de hecho, ha disminuido.

Y aunque el crecimiento general del malware para minería desde el año pasado se ha atribuido a la volatilidad de los precios de las criptomonedas y a la existencia de errores de software, otros factores han desempeñado un papel importante, como la implicación de los criptojackers aficionados y los costes de la minería de forma legítima.

Criptojackers aficionados

Si hay una tendencia dominante este año en el inframundo del criptojacking, es que la mayoría del malware minero se centra en Monero. De hecho, Palo Alto Networks reveló en julio que Monero presenta el 84,5 por ciento de todo el malware detectado, en comparación con el 8 por ciento del Bitcoin y el 7 por ciento de otras monedas.

Internet

La razón de esto es simple: Monero (XMR) no es solo una moneda de privacidad, sino también la más valiosa moneda de privacidad por capitalización de mercado; y la 10° en general. Usando la prueba de trabajo (PoW) Cryptonight, mezcla las entradas del usuario con las de otros usuarios, y también utiliza "transacciones confidenciales en anillo" que oscurecen la cantidad de XMR que se está transfiriendo. Por lo tanto, es ideal para los ciberdelincuentes.

Monero ya era la moneda más popular para los criptojackers en 2017, pero en 2018 ha surgido una serie de nuevos desarrollos para distinguir este año de su predecesor. Sobre todo, el criptojacking se está convirtiendo cada vez más en la jurisdicción de los "hackers" aficionados, que se ven atraídos a la actividad ilícita por la disponibilidad barata de malware para la minería y por las evidentes recompensas financieras. Según la firma rusa de ciberseguridad Group-IB, la red oscura está "inundada de software de minería barato", que a menudo se puede comprar por tan solo $0,50.

Este tipo de software se ha vuelto abundante este año: En 2017, Group-IB encontró 99 anuncios sobre la venta de software de criptojacking en foros clandestinos, mientras que en 2018 contaba con 477, lo que significa un aumento del 381,8 por ciento. Como señala la firma en su informe:

"La baja barrera de entrada al mercado de minería ilegal resulta en una situación en la que la criptomoneda está siendo extraída por personas sin conocimientos técnicos o experiencia con esquemas fraudulentos".

Más crecimiento

PCEn otras palabras, el criptojacking se ha convertido en una especie de crimen de aficionados, popular entre miles de hackers aficionados. Esto quizás explique por qué ha habido un marcado aumento en las detecciones este año, mientras que Kaspersky Labs informó a Cointelegraph que el número de ordenadores personales (PC) víctimas de criptojacking aumentó de 1,9 millones en 2016/17 a 2,7 millones en 2017/18. Evgeny Lopatin -un analista de malware de Kaspersky Lab- compartió que:

"El modelo de minería [...] es más fácil de activar y más estable [que otros vectores de ataque]. Ataca a tus víctimas, construye discretamente criptomoneda usando su CPU o GPU y luego transfiere eso a dinero real a través de bolsas y transacciones legales".

Por supuesto, siempre que se mencionan las "detecciones", surge la posibilidad de que cualquier aumento sea en gran medida el resultado de una mejora en las medidas de detección. "Sin embargo, este no es el principal impulsor aquí, ya que vemos un crecimiento real", dice Lopatin.

"Nuestro análisis muestra que cada vez más criminales usan mineros de criptomonedas con fines maliciosos en todo el mundo."

McAfee observó en un informe de abril que la gran mayoría de sus detecciones eran de CoinMiner, un programa malicioso que inserta subrepticiamente código tomado del algoritmo de minería CoinHive XMR en el ordenador de la víctima. Esto ocurre cuando la víctima descarga un archivo infectado de la web, pero lo que es nuevo en 2018 es que tal vulnerabilidad también afecta ahora a las Macs de Apple, que anteriormente habían sido consideradas mucho más seguras que sus rivales de Windows.

Esta evolución fue señalada por la empresa de seguridad estadounidense Malwarebytes, que en una publicación de un blog en mayo, informó sobre el descubrimiento de un nuevo criptominero malicioso que aprovecha el minero legítimo XMRig. Thomas Reed, director de Mac y móvil de la empresa, escribió:

"A menudo, el malware de Mac se instala por falsos instaladores de Adobe Flash Player, descargas de sitios de piratería, [y] documentos falsos que se utilizan para engañar a los usuarios con la finalidad de que los abran".

De hecho, este no fue el primer malware para Mac que se descubrió; Reed afirmó que "le sigue a otros criptomineros para macOS, como Pwnet, CpuMeaner y CreativeUpdate".

EternalBlue

Sin embargo, mientras que el criptojacking se ha convertido en un fenómeno más bien de aficionados, persiste el hecho de que muchas de las hazañas de este año se pueden rastrear a fuentes más "elitistas". La empresa de ciberseguridad Proofpoint informó a finales de enero de que Smominru, una red de criptojacking a través de bots (botnets), se había extendido a más de medio millón de ordenadores, en gran parte gracias a la Agencia Nacional de Seguridad, que había descubierto un error de Windows que luego se filtró en línea.

Esta vulnerabilidad es más conocida como EternalBlue, que fue la más famosa responsable del ataque o incidente WannaCry de mayo de 2017. Esto, según Cyber Threat Alliance (CTA), es otro gran factor en el aumento del 459 por ciento de este año en el criptojacking.

De forma preocupante, el informe de la CTA sugiere que es probable que el criptojacking no haga más que aumentar a medida que tenga más éxito y sea más rentable:

"La afluencia de dinero [del criptojacking] podría utilizarse para operaciones futuras más sofisticadas por parte de grupos de actores amenazantes". Por ejemplo, varias botnets mineras a gran escala (Smominru, Jenkins Miner, Adylkuzz) han hecho millones de dólares".

Y las cosas ya están bastante mal en el presente, con la CTA escribiendo que la infección por malware para minería tiene un alto costo para las víctimas.

"En conjunto, cuando los delincuentes instalan mineros de criptomonedas en redes de grandes empresas, los costes del uso excesivo de energía, las operaciones degradadas, el tiempo de inactividad, las reparaciones de máquinas con daños físicos y la mitigación del malware en los sistemas en los que incurren las víctimas superan con creces la cantidad relativamente pequeña de criptomoneda que los atacantes suelen ganar en una sola red".

Costes

La mención de los costes es significativa cuando se trata del criptojacking, no solo para las víctimas (potenciales), sino también para los perpetradores. Esto se debe a que el criptojacking es esencialmente el robo de electricidad y CPU, lo que implica que continuará prevaleciendo no solo mientras Monero y otras monedas sigan siendo valiosas, sino también mientras siga siendo costoso minar XMR y otras criptos.

Según la calculadora de rentabilidad de CryptoCompare para Monero, un minero individual con sede en EE. UU. que utiliza una tarjeta gráfica capaz de generar una tasa de hash de 600 H/s (por ejemplo, la Nvidia GTX 1080) y usa 100W de potencia (una estimación muy conservadora) hará solo $ 0,8033 en beneficios cada mes. Esto, claramente, no es especialmente prometedor, y en gran manera parte de la razón por la que tantos aficionados han recurrido al criptojacking, ya que minar XMR mientras se paga la propia electricidad simplemente no es fructífero cuando no se es una gran compañía minera.

Sin embargo, hay señales recientes de que la minería de Monero se ha vuelto más rentable, incluso para los mineros más pequeños. Esto se produjo después de su bifurcación dura del 6 de abril, que cambió su protocolo del PdT para hacerlo incompatible con los mineros de ASIC, que tienden a dominar la minería (particularmente en el caso del Bitcoin).

Tan pronto como esta bifurcación se completó, llegaron informes del subreddit de Monero, diciendo que la rentabilidad había aumentado en un 300 por ciento o incluso en un 500 por ciento, aunque este aumento se perdió rápidamente en las semanas siguientes, según BitInfoCharts.

MONEROA su vez, el propio Monero ha sido cauteloso para prometer que puede resistirse a los equipos mineros de la ASIC para siempre. "Con ello se reconoce que los ASIC pueden ser un desarrollo inevitable para cualquier prueba de trabajo [de criptomoneda]"  escribieron los desarrolladores dEBRYUNE y dnaleor en un blog de febrero. "También admitimos que los ASIC pueden ser inevitables, pero creemos que cualquier transición a una red dominada por los ASIC debe ser lo más igualitaria posible para fomentar la descentralización".

¿Declinar?

Asumiendo que se ha vuelto más rentable extraer XMR legítimamente, esto explicaría una nivelación en el crecimiento del criptojacking que ha sido observado por algunas empresas de ciberseguridad. En su informe del segundo trimestre de 2018, Malwarebytes reveló que las detecciones de malware para minería cayeron de un máximo de 5 millones a principios de marzo a un mínimo de 1,5 millones a principios de junio. Este descenso puede contradecir lo que otros analistas han informado este año, pero dado que la investigación de Malwarebytes es la más reciente en términos de las fechas cubiertas, podría decirse que es la más fiable.

No está claro si este descenso es el resultado de un aumento en la rentabilidad de los mineros legítimos de Monero, de empresas e individuos que se enfrentan a la amenaza del criptojacking, o de una disminución general en el valor de las criptodivisas. A pesar de todo, Malwarebytes predice que "los mineros de criptomonedas van a pasar de moda" como una amenaza a la ciberseguridad. "Por supuesto, todavía vamos a ver muchos mineros siendo distribuidos y detectados", concluye su informe. "Sin embargo, parece que estamos al final de la historia de la locura."