El cryptojacking es una amenaza cibernética que gira en torno a la minería no autorizada de criptomonedas a expensas de personas u organizaciones desprevenidas. Las actividades de cryptojacking pueden pasar desapercibidas durante períodos prolongados, lo que les da a los atacantes acceso continuo a hardware sin incurrir en costes.
¿Qué significa Cryptojacking?
El criptojacking se refiere al uso no autorizado de recursos computacionales para extraer monedas digitales como Monero, Ethereum u otras monedas centradas en la privacidad. Los atacantes incorporan malware malicioso. guiones or el malware into sitios web, aplicacioneso archivos, víctimas de secuestro CPU or GPU Poder para resolver acertijos criptográficos y ganar monedas digitales. La degradación del rendimiento, el uso elevado de energía y el sobrecalentamiento del sistema son resultados frecuentes.
El cryptojacking es una táctica atractiva para los cibercriminales porque la minería de criptomonedas convencional exige gastos sustanciales de infraestructura, desde hardware especializado (ASIC o GPU) hasta consumo de energía. Al aprovecharse de hosts desprevenidos, los cryptojackers evitan estos costos por completo, descargando tanto el equipo como las facturas de los servicios públicos sobre la víctima.
¿Es ilegal el cryptojacking?
El cryptojacking es ilegal en la mayoría de las jurisdicciones porque se basa en la explotación no consentida de los recursos informáticos. Los legisladores comparan el cryptojacking con la implementación de malware, el acceso no autorizado a los sistemas o el fraude informático. Cibercriminales Quienes participan en el cryptojacking están sujetos a enjuiciamiento en virtud de estatutos que cubren el acceso ilegal, la modificación no autorizada de datos y el robo de servicios computacionales. Las sanciones varían según las regulaciones regionales, pero los infractores a menudo enfrentan multas significativas, embargo de activos o prisión.
Las fuerzas de seguridad rastrean las campañas de criptominería mediante esfuerzos de colaboración con proveedores de ciberseguridad. La evidencia técnica (como las firmas digitales de malware de criptominería, los registros de dominios para grupos de minería o los datos de infraestructuras comprometidas) ayuda a las autoridades a identificar a los individuos o grupos que orquestan ataques a gran escala.
La naturaleza global de las criptomonedas dificulta su aplicación y atribución, pero los grupos de trabajo internacionales contra el cibercrimen siguen perfeccionando sus enfoques para abordar los incidentes de criptojacking.
¿Cómo funciona el cryptojacking?
Estos son los métodos más populares que utilizan los cibercriminales para iniciar el cryptojacking:
- Infecciones de malwareLos atacantes a menudo agrupan cargas útiles de criptominería con Trojan Los programas maliciosos son programas que se descargan desde el sistema, ejecutables maliciosos o actualizaciones de software falsificadas. Las víctimas ejecutan estos paquetes sin saberlo, lo que desencadena la minería de criptomonedas en segundo plano. Algunas cepas persisten modificando los registros del sistema, inyectando secuencias de comandos de inicio o deshabilitando los procesos de seguridad para garantizar una minería ininterrumpida.
- Scripts basados en navegador. Web BrowserEl cryptojacking basado en malware se basa en ataques maliciosos JavaScript Fragmentos de código incrustados en sitios web comprometidos o mediante publicidad maliciosa (malvertising). El código comienza a minar inmediatamente una vez que el navegador del usuario carga la página web, consumiendo recursos de la CPU hasta que el usuario abandona la página o cierra la pestaña. Las variantes persistentes pueden generar ventanas emergentes que continúan funcionando incluso después de cerrar la pestaña principal.
- Impulsar por descargasLas descargas automáticas implican la ejecución forzada de descargas no planificadas cuando los usuarios visitan sitios web infectados o hacen clic en ventanas emergentes engañosas. Los atacantes aprovechan complementos de navegador obsoletos, aplicaciones sin parches sistemas de gestión de contenidos, o configuraciones de navegador no seguras para iniciar descargas de archivos que contengan módulos de criptominería.
- Exploits y vulnerabilidades. Explota los fallos del sistema o de la red de destino, como un SMB débil (server bloque de mensajes) configuraciones o sin parches sistemas operativosLos atacantes aprovechan vulnerabilidades conocidas como EternalBlue o BlueKeep para ejecutar código de criptominería de forma remota y propagarse automáticamente a través de redes corporativas o data centers.
- Campañas de phishing y correo electrónico. Phishing Los ataques distribuyen malware de criptominería persuadiendo a las personas a hacer clic en enlaces maliciosos o abrir archivos adjuntos infectados. Los atacantes con frecuencia se hacen pasar por marcas reconocidas o partes confiables, engañando a los destinatarios para que activen inadvertidamente la carga útil de criptominería.
Tipos de criptojacking
Existen varios métodos de cryptojacking, cada uno de los cuales aprovecha diferentes métodos de distribución, persistencia y consumo de recursos.
Criptojacking basado en archivos
Este método se basa en la implementación de archivos de malware tradicionales en el sistema de la víctima. Estas son las características del cryptojacking basado en archivos:
- Ejecutables maliciosos. Los atacantes envuelven componentes de criptominería en instaladores engañosos o actualizaciones de software troyanizadas.
- Mecanismos de persistencia. El malware puede configurar tareas programadas, modificar entradas de registro o alterar los scripts de inicio para que se reinicien automáticamente.
- Técnicas de ofuscación. Técnicas como el empaquetamiento de código o cifrado ocultar las funciones de minería, impidiendo su detección rápida por parte de los motores antivirus.
- Funciones de gestión de recursos. Algunos programas maliciosos ajustan la intensidad de la minería en tiempo real para evitar generar alertas o una disminución notable del rendimiento.
Criptojacking basado en navegador
El cryptojacking basado en navegador aprovecha principalmente las tecnologías de scripts web para aprovechar la potencia informática. A continuación, se muestra en qué se diferencia este método de los métodos basados en archivos:
- Sin instalación directa. Los atacantes no necesitan instalar archivos en la máquina de la víctima. JavaScript se ejecuta inmediatamente cuando un usuario visita una página infectada.
- Ejecución sobre la marcha. El proceso de minería se detiene una vez que se cierra la pestaña o ventana, a menos que se sigan ejecutando ventanas emergentes especializadas o scripts persistentes.
- Requisitos de interacción del usuario. Generalmente requiere que la víctima acceda a un sitio o anuncio comprometido.
- Atribución desafiante. Los scripts maliciosos a menudo provienen de redes publicitarias de terceros o de sitios ocultos. Marcos, complicando la investigación sobre la verdadera fuente.
Cloud Cryptojacking
Cloud objetivos del cryptojacking virtualizado entornos y aprovecha las prácticas de implementación modernas. A continuación, se ofrece una descripción general:
- Acceso mediante credenciales robadas. Los atacantes inician sesión en cloud plataformas que utilizan credenciales filtradas o débiles, creando grandes instancias optimizadas para la criptominería.
- Configuraciones erróneas y cuentas con privilegios excesivos. Mal gobernado Gestión de identidad y acceso. permitir a los atacantes aumentar los privilegios y generar una cantidad ilimitada de ataques contenedores o máquinas virtuales.
- Alto impacto financiero. La organización víctima paga la factura del uso inflado de la infraestructura.
- Persistencia avanzada. Algunos atacantes integran modificaciones a nivel de contenedor e inyecciones de scripts en Imágenes de Docker, o criptomineros ocultos en lo efímero cargas de trabajo que son difíciles de detectar.
Criptominería en el IoT
IoT El cryptojacking se aprovecha de la postura de seguridad típicamente mínima y de los recursos limitados de los dispositivos conectados:
- Malware ligero. Los atacantes desarrollan scripts de minería optimizados para chips de bajo consumo que se encuentran en entornos de IoT.
- Potencial de botnet. Grandes enjambres de dispositivos IoT infectados generan colectivamente ingresos por minería a gran escala.
- Controles de seguridad limitados. Legado protocolos, poco frecuentes firmware Las actualizaciones y las credenciales predeterminadas dejan los dispositivos IoT expuestos.
- Despliegue a largo plazo. Los mineros de criptomonedas de IoT a menudo permanecen en funcionamiento hasta que falla el dispositivo o se produce una actualización importante del firmware, ya que los propietarios rara vez monitorean el uso de los recursos.
Ejemplos de ataques de criptojacking
A continuación se muestra una lista de incidentes de cryptojacking de la vida real que ilustran cómo los atacantes se infiltran en los sistemas, manipulan configuraciones y aprovechan los recursos.
El público de Tesla Cloud Cryptojacking
En 2018, los investigadores de seguridad descubrieron que los atacantes habían comprometido el entorno de Amazon Web Services (AWS) de Tesla. Los atacantes se infiltraron en una consola administrativa no segura e instalaron software de criptominería en una consola mal configurada. Kubernetes instancias. Las medidas de sigilo incluyeron ocultar la dirección del grupo de minería detrás CloudLos servicios de flare, lo que dificulta su detección. Los ingenieros de Tesla finalmente notaron un uso inusual de los recursos, lo que llevó a una investigación interna que reveló el incidente de cryptojacking.
Minero basado en navegador de The Pirate Bay
Se descubrió que The Pirate Bay, un sitio de índice de torrents, ejecutaba un script de Coinhive que aprovechaba la potencia de la CPU del usuario para la minería de criptomonedas. Los operadores del sitio implementaron inicialmente el script sin notificar a los visitantes, lo que provocó la reacción de la comunidad de usuarios por el uso no anunciado de los recursos. El incidente atrajo la atención de los medios de comunicación y desencadenó debates sobre si la ejecución de scripts de minería de criptomonedas podría servir como alternativa a los modelos tradicionales de publicidad en línea.
Anuncios de YouTube que ofrecen código de criptojacking
A principios de 2018, los anuncios maliciosos que se mostraban en YouTube contenían mineros de JavaScript ocultos. Los atacantes compraron espacio publicitario y ofuscaron cargas útiles de criptominería dentro de anuncios aparentemente inofensivos. Los espectadores que se encontraron con estos anuncios experimentaron un aumento en el uso de la CPU, lo que indica que el código de criptominería se ejecutó dentro de sus navegadores. Los equipos de seguridad de Google finalmente bloquearon los anuncios ofensivos y eliminaron las cuentas de anunciantes asociadas.
Criptojacking basado en navegador en el Wi-Fi de Starbucks
En 2017, los clientes de un local de Starbucks se quejaron de picos repentinos de consumo de la CPU mientras estaban conectados al wifi gratuito de la cafetería. La investigación demostró que se había insertado un script malicioso en el portal de autenticación de la red, lo que hacía que los dispositivos de los visitantes minaran criptomonedas en segundo plano. El proveedor de servicios de Internet que operaba el punto de acceso de Starbucks finalmente eliminó el script después de que los expertos en seguridad hicieran público el problema.
¿Cómo detectar el cryptojacking?
Estos son los métodos para detectar indicadores de cryptojacking:
- Análisis del rendimiento del sistema. Los períodos prolongados de uso elevado de la CPU o la GPU fuera de las horas pico son posibles indicios de que se está produciendo una criptominería. Las herramientas de supervisión automatizadas, incluidos los paneles de rendimiento en tiempo real, pueden aislar anomalías que se desvíen de las normas establecidas.
- Monitoreo del tráfico de red. El cryptojacking se basa en conexiones salientes a grupos de minería o administrados por atacantes. serversPuede utilizar registros de flujo de red, sistemas de prevención de intrusionesy filtros de inteligencia de amenazas para detectar conexiones sospechosas. Picos inusuales en DNS consultas a desconocidos dominios o los pools de minería son fuertes indicadores de actividad de cryptojacking.
- Escaneo de herramientas de seguridad. Las soluciones de protección de endpoints suelen incluir firmas dedicadas o heurísticas adaptadas al malware de criptominería. Los análisis antivirus periódicos, basados en host sistema de deteccion de intrusos Las plataformas de detección y respuesta de puntos finales (EDR) y de detección de hipervínculos (HIDS) ayudan a identificar procesos sospechosos. Es necesario actualizar estas herramientas con frecuencia para detectar variantes emergentes de criptojacking.
- Inspección del navegador. Cuando el cryptojacking se realiza a través del navegador, comprobar las pestañas abiertas o las consolas de desarrolladores proporciona evidencia de scripts maliciosos. Scripts no autorizados incrustados en sitios web código fuenteUn uso de CPU inusualmente alto vinculado a una pestaña específica o extensiones de navegador con permisos cuestionables son indicadores comunes de un script de cryptojacking.
- Correlación de registros y eventos. Soluciones de gestión de registros centralizada, como Plataformas SIEM, correlacionar eventos de múltiples fuentes (sistemas operativos, dispositivos de red y herramientas de seguridad). Los analistas que aplican reglas de correlación que se centran en lanzamientos de procesos anómalos, cuentas de usuario recién creadas o intentos de inicio de sesión fallidos repetidos pueden descubrir intentos de criptojacking.
¿Cómo prevenir el cryptojacking?
Para prevenir el cryptojacking se requiere una combinación de actualizaciones de software, gestión de la configuración y educación del usuario. A continuación, se presenta una introducción a las medidas esenciales que fortalecen las defensas contra los ataques de criptominería.
1. Implementar actualizaciones de software y firmware
Los parches de seguridad y las actualizaciones de firmware contrarrestan las vulnerabilidades que explotan los criptojackers. manejo de parches garantiza todos los entornos—on-premises, cloud, o móviles—manténgase actualizado. Los sistemas obsoletos carecen de protección contra exploits divulgados públicamente que se utilizan para implementar el cryptojacking.
2. Utilice extensiones de navegador o bloqueadores de scripts
Bloqueo de scripts extensionesLos complementos centrados en la privacidad y las funciones integradas del navegador (como deshabilitar JavaScript para sitios que no son de confianza) reducen significativamente la exposición. Los bloqueadores de anuncios configurados para bloquear la criptominería conocida URL mitigar aún más posibles ataques que se basan en scripts publicitarios maliciosos.
3. Reforzar los filtros de correo electrónico y web
Filtrado avanzado de correo electrónico, caja de arena Los archivos adjuntos y el escaneo de URL en tiempo real bloquean los correos electrónicos de phishing o los enlaces a sitios web comprometidos. Las organizaciones suelen adoptar soluciones de filtrado de DNS que interceptan los intentos de resolver dominios maliciosos, lo que evita que se carguen sitios de criptojacking.
4. Mejorar la protección de los puntos finales
Antivirus de última generación y las soluciones EDR ofrecen análisis de comportamiento y escaneo de memoria para patrones de criptominería. Algunos productos limitan o terminan procesos que muestran características consistentes con criptominería, como un uso elevado y continuo de la CPU no relacionado con operaciones legítimas conocidas.
5. Seguro Cloud Entornos
Asegurar cloud Las plataformas implican una fuerte Gestión de identidad y acceso. (ESTOY), segmentación de red, seguridad de contenedores y escaneo de carga de trabajo. Administradores del sistema Deben integrarse alertas de uso de recursos que notifiquen a los equipos sobre picos anormales en el uso de la CPU. El registro y la supervisión a escala pueden frustrar el criptojacking en Kubernetes o Docker ecosistemas.
6. Educar al personal
Suplantación de identidad, ingeniería socialLos archivos adjuntos maliciosos siguen siendo los principales mecanismos de distribución del malware de criptominería. La capacitación periódica en ciberseguridad destaca las tácticas que utilizan los adversarios, instruyendo a los empleados a examinar las fuentes de correo electrónico y evitar hacer clic en enlaces sospechosos o habilitar macros en archivos desconocidos.
¿Cómo eliminar el cryptojacking?
A continuación se explica cómo neutralizar las infecciones de cryptojacking:
Identificar la fuente de infección
Utilice análisis del sistema, registros de red y métricas de rendimiento para rastrear procesos de criptominería. Las investigaciones pueden revelar ejecutables maliciosos, scripts o cuentas de usuario sospechosas creadas por atacantes. Identificar dispositivos de paciente cero le ayuda a comprender el estado inicial vector de ataque y contener una mayor propagación.
Terminar procesos maliciosos
La finalización de las sesiones de minería activas es fundamental para minimizar los daños en curso. Aísle las máquinas infectadas de la red eliminando los procesos de criptojacking mediante comandos del sistema operativo, consolas de software de seguridad o terminaciones manuales de servicios. La contención inmediata ayuda a impedir que los atacantes controlen los puntos finales comprometidos.
Eliminar archivos o scripts maliciosos
El cryptojacking basado en archivos suele depositar archivos ejecutables o bibliotecas dinámicas en directorios ocultos. Ubíquelos mediante herramientas forenses, búsquedas basadas en hash o análisis antivirus. Una vez identificados, elimine o ponga en cuarentena los objetos maliciosos. El cryptojacking basado en navegador puede requerir la desinstalación de extensiones, la limpieza de archivos y la eliminación de archivos. caches, o eliminar el código inyectado de las plantillas del sitio.
Reconstruir o restaurar sistemas comprometidos
La restauración de la imagen de los dispositivos afectados garantiza una limpieza completa de cualquier componente de criptojacking persistente. servers Por lo general, se basan en actualizaciones backups para restablecer las operaciones rápidamente. Confirmar la integridad de backup imágenes o instantáneas antes de volver a implementarlas en entornos de producción.
Reforzar los controles de seguridad
Los incidentes de cryptojacking resaltan áreas con una postura de seguridad inadecuada. Refine su ritmo de aplicación de parches, fortalezca las configuraciones y restrinja los privilegios administrativos. Para evitar que los cryptojackers vuelvan a establecerse, revise periódicamente su cortafuegos reglas, políticas de segmentación de red y configuraciones de prevención de intrusiones.
Monitoreo y pruebas continuos
Regular evaluaciones de vulnerabilidad, pruebas de penetración, y las revisiones de registros centralizadas son vitales para anticipar nuevas tácticas de criptojacking. Emplee análisis en tiempo real inteligencia de amenazas y sistemas de detección de anomalías que señalan patrones sospechosos. Las auditorías constantes garantizan que las lagunas anteriores permanezcan resueltas, lo que reduce significativamente los riesgos de criptojacking a largo plazo.