El malware de minería ahora puede ser dolorosamente familiar para cualquiera que tenga incluso una conciencia pasajera de la criptomoneda, pero hasta ahora las empresas y los consumidores por igual están fracasando en frenar significativamente su creciente amenaza.

El 14 de mayo, la empresa israelí de ciberseguridad Check Point publicó su último Índice de Amenazas Globales, y por quinto mes consecutivo descubrió que el cripto-minero Coinhive es el "malware más frecuente" en el mundo, afectando al 16 por ciento de las organizaciones a nivel mundial.

Mientras tanto, Malwarebytes, con sede en Santa Clara, dio a conocer sus Tácticas y técnicas contra el delito cibernético: El informe del primer trimestre de 2018 del 9 de abril encontró que las empresas habían visto un aumento del 27 por ciento en el malware para minería en los primeros tres meses del año en comparación con los tres meses anteriores.

Sin embargo, si bien el crecimiento interanual del valor de las criptomonedas indicaría que el malware minero va a seguir extendiéndose en paralelo, hay algunas señales emergentes de que las organizaciones al menos están aceptando la amenaza que supone el malware.

Explotación de vulnerabilidades básicas

El último informe de Check Point es más preocupante de lo que sugiere su titular por sí solo. No sólo Coinhive - un malware Javascript diseñado para minar Monero (XMR) - ocupan el primer lugar en la lista de abril de los diez programas maliciosos más buscados, pero el segundo lugar lo ocupa Cryptoloot, otro minero sigiloso e indetectable de XMR. Al igual que Coinhive, Cryptoloot ha existido durante varios meses, habiendo entrado en el top ten en diciembre de 2017, cuando Coinhive reclamó por primera vez el puesto número uno.

Quizás lo más preocupante son los medios por los que el malware minero como Coinhive y Cryptoloot están ganando terreno en los sistemas de TI. Según Check Point, los hackers están zonificando cada vez más en vulnerabilidades más básicas, como errores no parcheados en Microsoft Windows Server 2003 y en Oracle Web Logic. Maya Horowitz, Gerente del Grupo de Inteligencia de Amenazas de Check Point, explicó:

"Con el crecimiento constante del malware, los ciberdelincuentes están innovando sus técnicas para encontrar nuevas formas de explotar las máquinas de las víctimas y obtener más ingresos. Ahora que intentan infiltrarse en las redes utilizando vulnerabilidades de servidor sin parchear, esto es un claro recordatorio para las organizaciones de que los aspectos básicos de la seguridad, como la aplicación de parches, son fundamentales para garantizar que las redes permanezcan seguras".

El 46 por ciento de las organizaciones encuestadas en Check Point habían sido atacadas en abril como resultado de la vulnerabilidad de Microsoft Windows Server 2003, mientras que el 40 por ciento habían sido atacadas debido a la falla de Oracle Web Logic. Según Horowitz: "Es preocupante que tantas organizaciones se hayan visto afectadas por estas vulnerabilidades conocidas, especialmente porque los parches para ambas han estado disponibles durante al menos 6 meses".

Crecimiento que se beneficia de un riesgo relativamente bajo

En otras palabras, los hackers están utilizando malware conocido para explotar vulnerabilidades conocidas, pero a pesar de la familiaridad de sus métodos, las organizaciones parecen incapaces o poco dispuestas a hacer mucho para protegerse de programas como Coinhive y Cryptoloot. Por esta razón, la detección de malware por parte de las empresas aumentó un 27 por ciento entre el cuarto trimestre de 2017 y el primer trimestre de 2018, según el último informe de Malwarebytes titulado "Cybercrime tactics and techniques" (Tácticas y técnicas contra la ciberdelincuencia), que subraya hasta qué punto las empresas se han visto atrapadas durmiendo en la ola de piratería informática: para los consumidores, el aumento fue del 4.000 por ciento.

INFOGRAPHICS (malware_Q)

Lo interesante de este crecimiento es que, como señala Malwarebytes en el informe, "prácticamente todos los demás programas maliciosos están en declive". Por ejemplo, encuentra que la detección de software de rescate entre los consumidores disminuyó en un 35 por ciento entre el cuarto trimestre de 2017 y el primer trimestre de 2018, mientras que "el volumen total sigue siendo bajo" para las detecciones empresariales de dicho software malicioso. Por ejemplo, en marzo era algo menos de 6.000, mientras que las detecciones de malware para la minería eran de 400.000.

Del mismo modo, mientras que el spyware sigue siendo clasificado por Malwarebytes como la amenaza número uno para las empresas, las cifras fueron relativamente bajas en el primer trimestre de 2018, con un pico en enero de 80.000 detecciones de gran importancia en comparación con las 550.000 detecciones en febrero para el criptojacking de malware.

Y lo que es más interesante, el informe destaca una razón por la que es posible que las empresas y los consumidores no estén haciendo tanto para evitar la exposición al malware minero. En su conclusión, afirma:

"La cripto minería maliciosa parece ser mucho menos peligrosa para el usuario que otras formas de malware, como el ransomware."

De hecho, como explica a Cointelegraph Yotam Gutman, vicepresidente de marketing de la empresa israelí de ciberseguridad SecuriThings:

"La minería consume CPU y ancho de banda. El malware no debe dañar el equipo host, ni debe[impactar] los datos en el equipo, como archivos dañados o cifrados. Las máquinas infectadas tienden a trabajar más despacio, y muestran un mayor consumo de CPU, energía y ancho de banda".

"La mayoría de los malware minan de manera sutil, para no levantar sospechas", continúa, mientras que vale la pena señalar que malware como Coinhive a menudo deja de usar la potencia de procesamiento de repuesto de un host si se alejan de un sitio web infectado o cierran su navegador. Lo que es más, incluso si las organizaciones o los individuos son conscientes de una posible amenaza de criptojacking, es posible que no se les mueva lo suficiente como para hacer algo:

"Otros son conscientes de que esto puede suceder pero no están preocupados, ¿cuál podría ser el riesgo de malware que no robe nada?"

La demanda de criptojacking supera a la demanda de ciberseguridad

Dado que la minería de malware generalmente plantea poco riesgo urgente, es muy probable que su incidencia siga aumentando en un futuro próximo. Por un lado, el incentivo para que las empresas y los consumidores se protejan no es tan grande como el de adware, spyware o ransomware. Por otro lado, el incentivo para minar criptomonedas ilícitamente -especialmente cuando los costos legítimos de la minería son tan altos. es considerablemente grande, y lo seguirá siendo mientras las criptomonedas tales como XMR mantengan o aumenten sus valores respectivos.

Matt Walmsley, director de marketing para Europa, Oriente Medio y África de la empresa de ciberseguridad basada en Inteligencia Artificial Vectra, explica a Cointelegraph:

"Hay un patrón entre el valor de las criptomonedas y la cantidad de cryptojacking que ocurre. Por ejemplo, detectamos que a medida que el valor de las criptomonedas como Bitcoin, Ethereum y Monero aumentaba, hubo un aumento correspondiente en el número de computadoras en los campus universitarios que realizaban minería o que eran criptojeckeadas por los mineros para procesar los hashes de criptomonedas".

Esta correlación ofrece un panorama sombrío, ya que incluso si el malware de minería no es especialmente dañino cuando se lleva a cabo a pequeña escala, no está exento de riesgos para las organizaciones y servidores más grandes. "Los dispositivos que son pirateados hoy en día pueden ser desviados para ejecutar cargas útiles más destructivas, como el software de rescate, o ataques dirigidos al robo de datos", dice Walmsley. "El 'ruido' generado por estos eventos de seguridad de bajo nivel también proporciona cobertura para ataques avanzados más específicos para esconderse. Por lo tanto, las organizaciones que ignoran el criptojacking, considerándolo como un problema de higiene de seguridad de bajo nivel tolerable, pueden ser mordidas por su complacencia cuando los ciberdelincuentes escalan sus ataques".

Señales tentativas de mejora

Por lo tanto, la amenaza es grave, pero a pesar de que Coinhive está celebrando su quinto mes consecutivo como el malware "más buscado" de Check Point, hay algunas señales tentativas de que las organizaciones están aprendiendo gradualmente a lidiar con él.

Por un lado, a pesar de que Check Point encontró que un 16 por ciento significativo de las organizaciones a nivel mundial se vieron afectadas por Coinhive en abril, este porcentaje es de hecho más bajo que el de cada mes anterior. En enero, febrero, marzo y abril, el malware afectó al 23, 20, 18 y 16 por ciento de las organizaciones respectivamente, mientras que el impacto del criptojacking de malware en general descendió del 55 por ciento en diciembre al 42 por ciento en febrero.

INFOGRAPHICS (malware_MON)

Por lo tanto, las empresas se están apoderando poco a poco de los programas maliciosos de minería, un hecho que también se refleja en el aumento de las detecciones registradas por Malwarebytes. La palabra clave aquí es "detecciones", ya que puede no ser el despliegue general o el intento de uso de malware minero lo que está aumentando, sino más bien la capacidad de las organizaciones para detectar dicho malware cuando son su objetivo - el enigma del crimen 'grabado' frente al 'real'.

Sin embargo, contra estos destellos de esperanza, los analistas y los investigadores de ciberseguridad advierten que los hackers casi siempre están encontrando nuevos objetivos para su malware y nuevas formas de atacarlos. Yotam Gutman advierte:

"Por lo que podemos decir,[la amenaza] no se está ralentizando, sino sólo creciendo. Además, los delincuentes están encontrando nuevos dispositivos informáticos para utilizar, como los dispositivos de IoT, por lo que su banco objetivo potencial no hace más que crecer. Así que tristemente, la respuesta es no, no hay fin a la minería criptográfica a la vista."

La predicción de que los dispositivos de "Internet de las cosas" (IoT) serán cada vez más atacados a medida que los hackers cambian sus estrategias ha sido hecha por otros expertos, con el último informe de Symantec sobre las amenazas a la seguridad en Internet pronosticado:

"A medida que evolucionen las actividades maliciosas de extracción de monedas, los dispositivos de IoT seguirán siendo objetivos maduros para su explotación. Symantec ya encontró un aumento del 600 por ciento en el total de ataques IoT en 2017, lo que significa que los criminales cibernéticos podrían explotar la naturaleza conectada de estos dispositivos para extraerlos en masa".

Dado que los hackers han podido pasar recientemente de una vulnerabilidadbásica del servidor a la próxima en su búsqueda de criptodivisas mal obtenidas, hay motivos para sospechar que seguirán pasando a dispositivos de IoT y otros objetivos fáciles a medida que surjan. Junto con el sólido rendimiento de los mercados de criptomonedas, no hay razón para pensar que van a desaparecer por el momento, incluso si las empresas pueden haber comenzado a ser cada vez más sabios a su amenaza.