Tecnología
Productos
Industrias
Noticias
Recursos
Empresa
Español
Tecnología
Productos
Industrias
Noticias
Blog
Recursos
Empresa

Malware de criptominería: descubrimiento de una granja de criptomonedas en un almacén

Justin Fier, Director of Cyber Intelligence & Analytics | jueves 8 de abril de 2021

Las criptomonedas aparecen en los titulares de prensa todas las semanas y su aceptación como inversión y método de pago convencional es cada vez mayor. A nivel mundial, los ciberdelincuentes están aprovechando los centros de datos llamados “granjas” de criptominería para beneficiarse de esta tendencia, desde China hasta Islandia, Irán e incluso una caja de cartón en un almacén vacío.

¿Cómo funciona la criptominería?

Las criptomonedas son divisas digitales descentralizadas. A diferencia de las monedas tradicionales que los bancos centrales pueden emitir en cualquier momento, la criptomoneda no está controlada por ninguna autoridad centralizada. En cambio, se basa en una cadena de bloques, que funciona como un registro digital de transacciones, organizado y mantenido por una red entre pares.

Los mineros crean y aseguran criptomonedas resolviendo algoritmos criptográficos. En lugar de martillos y cinceles, los criptomineros utilizan computadoras especializadas con GPU o ASIC para validar transacciones lo más rápido posible, obteniendo criptomonedas en el proceso.

Granjas de criptominería en 2021: aprovechando la cosecha temprana

La criptominería consume una enorme cantidad de energía. Un análisis de la Universidad de Cambridge estima que la generación de bitcoin consume tanta, si no más, energía que países enteros. Por ejemplo, bitcoin usa aproximadamente 137,9 teravatios de horas por año, en comparación con Ucrania, que usa solo 128,8 para el mismo período. Bitcoin es solo una de las muchas criptomonedas, junto con Monero y Dogecoin, por lo que la energía total consumida por todas las criptomonedas es mucho mayor.

Dado que las computadoras de minería de alta potencia requieren tanta potencia de procesamiento, la criptominería es lucrativa en países con electricidad relativamente barata. Sin embargo, la energía necesaria puede tener consecuencias graves, incluso apagones de ciudades enteras. En Irán, con una red eléctrica anticuada, las granjas de criptomonedas han provocado apagones por todas las ciudades.

Si bien algunas de estas criptogranjas son legales, los criptomineros ilegales también están agotando los suministros de energía de Irán. La criptominería ilegal es popular en Irán en parte porque la moneda iraní es volátil y está sujeta a la inflación, mientras que la criptomoneda es (por el momento) inmune tanto a la política monetaria inflacionaria como a las sanciones estadounidenses. Cuando se usa con fines ilegales, el cultivo de criptomonedas puede provocar cortes de red y daños financieros graves.

Malware de criptominería en redes corporativas

El malware de criptominería tiene la capacidad de obstaculizar e incluso bloquear el entorno digital de una organización, si no se detiene. La Cyber AI ha descubierto y desbaratado cientos de ataques en los que los dispositivos estaban infectados con malware de criptominería, como por ejemplo:

  • un servidor encargado de abrir y cerrar una puerta biométrica
  • un espectrómetro, un dispositivo médico de IoT que utiliza longitudes de onda de luz para analizar materiales
  • 12 servidores escondidos bajo el piso de madera en un banco en Italia

En un caso el año pasado, Darktrace detectó una actividad de criptominería anómala en un sistema corporativo. Tras la investigación, la organización en cuestión rastreó la actividad anómala hasta uno de sus almacenes, donde encontraron lo que parecían ser modestas cajas de cartón en un estante. La apertura de estas cajas reveló una granja de criptomonedas disfrazada, que robaba energía de la red de la empresa.

Figura 1: las modestas cajas de cartón

Figura 2: la granja de criptomonedas

Figura 3: los ciberdelincuentes crearon un aparato de minería de criptomonedas clandestino con GPU, que sacaba energía de la red de la empresa

Si no hubiese sido descubierto, la granja de criptominería habría provocado pérdidas financieras para el cliente y la interrupción del funcionamiento comercial. Los aparatos mineros también generan mucha calefacción y podrían haber causado fácilmente un incendio en el almacén.

Este caso demuestra los métodos encubiertos que las personas oportunistas pueden adoptar para secuestrar la infraestructura corporativa con malware de criptominería, así como la necesidad de una herramienta de seguridad que cubra todo el patrimonio digital y detecte cualquier evento nuevo o inusual. El machine learning de Darktrace marcó las conexiones que se estaban haciendo desde las cajas del almacén como altamente anómalas, lo que llevó a este descubrimiento inesperado.

En organizaciones con Antigena activa, cualquier dispositivo de criptominería anómalo se bloquea para que no se comunique con los endpoints externos relevantes, inhibiendo efectivamente la actividad minera. Antigena también puede responder al reforzar el “patrón de vida” en todo el entorno digital, evitando comportamientos maliciosos y permitiendo que continúen las actividades comerciales normales. A medida que los ciberdelincuentes continúan proliferando y los hackers idean nuevas formas de implementar malware de criptominería, la visibilidad completa de Darktrace y Autonomous Response en cada parte del entorno digital es más importante que nunca.

Gracias a la analista de Darktrace, Chloe Phillips, por sus conocimientos en este blog.

Obtenga más información sobre cómo Darktrace detiene las campañas clandestinas de criptominería

Detecciones del modelo de Darktrace:

  • Compliance / Crypto Currency Mining Activity
  • Compromise / High Priority Crypto Currency Mining
  • Compromise / Monero Mining
  • Anomalous Connection / Rare External SSL Self-Signed
  • Compromise / HTTP Beaconing to Rare Destination
  • Compromise / POS and Beacon to Rare External
  • Compromise / Slow Beaconing Activity to External Rare
  • Compromise / SSL Beaconing to Rare Destination
  • Compromise / Sustained TCP Beaconing Activity to Rare Endpoint
  • Anomalous Connection / Multiple Failed Connections to Rare Destination
  • Compromise / Sustained SSL or HTTP Increase
  • Anomalous Connection / Connection to New TCP Port
  • Anomalous Connection / Connection to New UDP Port
  • Compromise / Multiple UDP Connections to Rare External Hosts
  • Compromise / SSL or HTTP Beacon
  • Compromise / Quick and Regular HTTP Beaconing
  • Device / Suspicious domains
  • Compromise / Suspicious Beacons to Rare PHP Endpoint
  • Anomalous File / Script from Rare
  • Anomalous Connection / New failed External Windows Connection
  • Device / New Failed External Connection
  • Anomalous Connection / POST to PHP on New External Host

Justin Fier

Justin is one of the US’s leading cyber intelligence experts, and holds the position of Director for Cyber Intelligence & Analytics at Darktrace. His insights on cyber security and artificial intelligence have been widely reported in leading media outlets, including the Wall Street Journal, CNN, The Washington Post, and VICELAND. With over 10 years’ experience in cyber defense, Justin has supported various elements in the US intelligence community, holding mission-critical security roles with Lockheed Martin, Northrop Grumman Mission Systems and Abraxas. Justin is also a highly-skilled technical specialist, and works with Darktrace’s strategic global customers on threat analysis, defensive cyber operations, protecting IoT, and machine learning.