Las detecciones de ataques causados por criptomineros o “cryptojacking” han experimentado un aumento exponencial en América Latina durante 2018 en comparación a 2017, mientras que los ataques causados por ransomware han disminuido abruptamente desde el año pasado. Estos ataques relacionados a la minería de criptomonedas generan menos ingresos para los cibercriminales, pero a diferencia de las campañas de ransomware, lo hacen de forma sostenida y sin correr grandes riesgos, esto según los datos revelados por Kaspersky Lab durante su Octava Cumbre Latinoamericana de Analistas de Seguridad en la Ciudad de Panamá.
Las criptomonedas incrementaron su valuación de forma sorprendente durante el año pasado, tal como lo pronosticó Kaspersky Lab, generando un marcado interés por parte de los cibercriminales. Esto deriva en que los ataques causados por criptomineros en la región se sextuplicaran, pasando de 57,278 en 2017 a 393,405 en lo que va del año. La tendencia a la baja que registraron las detecciones de estos ataques en 2016 en comparación con 2015, cuando pasaron de 3,345 a solo 800, se ha revertido por completo. Entre las criptomonedas más buscadas por los cibercriminales está el tradicional bitcoin, así como monedas consideradas más seguras y anónimas como Monero y zcash.
En América Latina, el país más afectado por criptomineros es Brasil, con 51.23% de los ataques, seguido por México (19.86%) y Colombia (7.20%). Los países menos afectados en la región son Nicaragua, Uruguay, Cuba y Haití.
En tanto, a nivel global, el número total de usuarios atacados por un criptominero malicioso aumentó 44.5% comparando el ciclo 2016-2017 con el de 2017-2018; mientras que en dispositivos móviles aumentó 9.5% comparando estos mismos periodos. En contraste, el número total de usuarios que enfrentó un ataque por ransomware cayó 30%, comparando el periodo 2016-2017 con el de 2017-2018; lo mismo que en dispositivos móviles, donde disminuyó 22.5% comparando los mismos periodos.
“Los ataques con criptomineros tienden a enfocarse en mercados emergentes y le permiten a los criminales generar nuevo dinero mediante el uso fraudulento de equipos informáticos de terceros a través del cálculo de complejas ecuaciones matemáticas. Su auge se debe principalmente a que el sistema de monetización es simple, suelen pasar desapercibidos y es fácil crear un minero con herramientas desarrolladas de código abierto y constructores de malware”, dijo Santiago Pontiroli, analista de seguridad de Kaspersky Lab.
Si a esto sumamos la comercialización de herramientas ya desarrolladas y que el retorno de inversión más conservador estimado para estas campañas es de alrededor de 30 mil dólares al mes, es fácil ver que se trata de un negocio que ofrece a los cibercriminales una forma directa de comenzar a obtener ganancias.
Según Pontiroli, estos ataques suelen enfocarse en equipos de escritorio. “Este tipo de malware es más fácil de identificar en dispositivos móviles debido al aumento del consumo del plan de datos y la reducción de la vida útil de la batería. Un ejemplo claro es el malware Loapi, el cual ejercía un nivel de estrés tan alto en el dispositivo que terminaba por deformar la batería al minar criptomonedas”, explicó.
En cuanto a los sistemas operativos más vulnerables a estos ataques, Windows 10 ocupa el primer lugar con el 47,48%, seguido por Windows 7 (39,88%) y Windows 8 (10,07%).
EMPRESAS Y AMBIENTES CORPORATIVOS BAJO LA MIRA
Los ambientes corporativos y centros de datos, donde los recursos disponibles son prácticamente ilimitados debido al funcionamiento de algunos servicios en la nube que escalan su capacidad automáticamente, son un blanco sumamente atractivo para los grupos criminales. Muestra de ello la nueva ola de infecciones que continúa explotando EternalBlue -a través de una vulnerabilidad corregida hace más de un año- para la propagación de malware.
Ataques al estilo de Wannamine (que se estima recaudó 2 millones de dólares) o PowerGhost muestran la capacidad de los mineros de pasar desapercibidos, al utilizar malware residente solo en la memoria y herramientas legítimas como PowerShell. También se han encontrado otras características que antes solo se habían observado en malware empleado en campañas dirigidas. Asimismo, se ha observado la utilización de sitios web comprometidos como centro de partida para realizar minería distribuida en una gran cantidad de equipos a través de scripts maliciosos, o bien, mediante anuncios publicitarios de terceros que son cargadas en sitios legítimos sin conocimiento del dueño del mismo o los usuarios que acceden a él.
