Secuestro de ordenadores, la pandemia que amenaza (otra vez) a las empresas españolas

Son las cucarachas de Internet: los llaman "criptomineros" y están escondidos por todas partes, chupando la potencia de millones de ordenadores para conseguir mucho dinero. En España, el organismo gubernamental CCN-CERT lleva contabilizadas decenas de incidencias en empresas y administraciones que irán a más en los próximos meses. Los expertos hablan de "epidemia".

TE PUEDE INTERESAR

Una hora con la exjefa de ciberseguridad de EEUU: "¿Snowden? ¡Es una terrible persona!"

Manuel Ángel Méndez

El criptominero WannaMine entra en los servidores corporativos por el mismo agujero que entraba el famoso ransomware Wannacry. PandaLabs lo detectó en octubre del año pasado, cuando empezó a atacar a empresas y organismos españoles y a usar la capacidad de cómputo de sus ordenadores para minar criptomoneda.

El Sistema de Alerta Temprana Internet del CCN-CERT detectó los incidentes provocados por WannaMine, unos 70, en novembre de 2017. Desde entonces, como refleja su informe 'Cyberthreats and tendencies executive summary 2018', los ataques de criptomineros a entidades públicas y privadas españolas se han mantenido en una constante de 40-50 incidencias mensuales hasta marzo, cuando ya fueron 60 y subiendo.

El 'cryptomining', al alza

"Lo importante aquí es observar la tendencia de incremento de cryptomining y decremento de ransomware", explica Javier Candau, jefe del Departamento de Ciberseguridad del CCN-CERT. Efectivamente los ataques de ransomware, con sus dramáticos archivos cifrados y mensajes chillones pidiendo rescates, están bajando al mismo tiempo que los "hit parades" del malware mundial son copados por los discretos mineros, que hacen el menor ruido posible para pasar cuanto más tiempo mejor en las máquinas infectadas.

El perjuicio para la empresa es también casi invisible: gasto de electricidad y robo de parte de la capacidad de proceso de sus sistemas; algo que, si están dedicados a tareas críticas, puede ser mayor problema pues estas tareas se ralentizarán o no podrán realizarse. Dani Creus, investigador de Kaspersky Labs, añade el inconveniente de que "tus ordenadores están haciendo algo que tú no quieres que hagan".

Los daños: gasto de electricidad y robo de parte de la capacidad de proceso de sus sistemas

La tendencia mundial es de aumento de los ataques de criptomineros a servidores de empresas, universidades y administración, mientras siguen pero se estancan los asaltos masivos a sitios web que usan los ordenadores de los visitantes para minar criptomoneda. Una nueva variante son los enlaces acortados que, mientras nos dirigen al sitio seleccionado, nos hacen minar criptomoneda.

Dominios infectados

En abril de este año, el CCN-CERT contabilizaba 121 dominios .es infectados con mineros. Una de estas webs fue la de Movistar, la única empresa de la que se ha sabido públicamente que ha sido víctima del criptominado, el 29 de diciembre de 2017. Movistar explicó que habían instalado el minero ellos mismos para hacer unas pruebas y quedó activado por error.

TE PUEDE INTERESAR

Auto-boicot de Movistar: inyecta un virus en su web para protegerse de los 'hackers'

G.C.

Kaspersky Labs tiene cifras más inquietantes: solo el año pasado detectó en España a 11.952 usuarios y 3.552 empresas cuyos ordenadores estaban infectados con criptomineros. Otra empresa de seguridad, Proofpoint afirma que en los primeros meses de 2018 han contabilizado "alrededor de 3.500 ordenadores infectados en España, siendo Madrid la ciudad con más infecciones (1.308), seguida de Barcelona (496), Asturias (118) y Málaga (116)".

Otras empresas que prefieren no dar su nombre calculan que, ahora mismo, en las redes españolas "un 23% de los ataques que se reciben contienen algún tipo de mecanismo que, directa o indirectamente, intenta inyectar un criptominero". Y en las administraciones públicas la estadística se dispara al 30%.

A mano o con gusanos

Jesús Muñoz, responsable de auditorías de seguridad del Grupo Oesia ha visto ya diversas organizaciones españolas ser víctimas de los mineros: "Se introducen en las empresas hackeándolas, manualmente o con gusanos". Los dispositivos atacados son de todo tipo, desde cámaras de vigilancia conectadas a Internet hasta bases de datos, pasando por servidores web, electrodomésticos o la nube.

Otra forma de ataque a las empresas consiste en enviar correos de phishing masivos a los empleados. Últimamente se han visto emails con adjuntos que simulan ser un documento Word, pero al abrirlo instalan un minero en el ordenador. Además, afirma Muñoz, "se están produciendo muchos 'auto-hackeos' hechos por autónomos que han hecho la web de la empresa y aprovechan para meterle sus mineros y sacarse un sobresueldo".

El criptominero más utilizado es de código abierto y se ha disparado su uso este último año

XMRing es el criptominero más usado para asaltar servidores corporativos y crear botnets con ellos. Es de código libre y en un año ha subido un 70%, según CheckPoint Uno de sus "hijos", RubyMiner, habría atacado el 30% de las redes corporativas mundiales,

Muñoz habla de "incremento espectacular" que se apuntaba en 2017 y estamos viendo en 2018. Coincide con él Dani Creus, quien considera que la pieza más apetecible para los criptomineros son "las empresas con muchos recursos de computación, por ejemplo que tengan un Centro de Datos, porque así consiguen mayor capacidad computacional".

Hasta depuradoras de agua

Según estimaciones de CheckPoint el 42% de organizaciones en todo el mundo, el doble que hace medio año, estarían infectadas. Se han detectado mineros incluso en infraestructuras críticas, como la red de una planta potabilizadora de agua en Europa. Entraron en ella a través de un anuncio en una web que consultó un trabajador.

La mayoría de las empresas no saben que tienen mineros dentro, explica Muñoz: "CheckPoint realizó una prueba gratuita a empresas y se detectaron mineros en casi todas, pero ellas no son conscientes ni le ven el impacto económico".

Esto no hará más que aumentar este año y esperan ataques combinados con malware

Para colmo, según el informe del CCN-CERT, "se espera que el cryptomining siga creciendo en 2018 a medida que cada vez más familias de "malware" incluyen funcionalidades de minado en sus arsenales de ataque". Esto se está detectando ya en todo tipo de virus para ordenador o móvil, como los troyanos dedicados al robo de credenciales bancarias o los que esclavizan dispositivos para botnets: cuando no están robando o bombardeando, aprovechan para minar Monero o ZCash.

Estas dos monedas virtuales son las más usadas por los criptodelincuentes porque ofrecen total anonimato. Minar significa poner ordenadores a hacer múltiples operaciones matemáticas hasta que den con la solución a un problema dado, siendo el resultado un bloque de la cadena de bloques (blockchain). Cada bloque almacena y sella de forma segura los datos de una transacción realizada con la criptomoneda en cuestión. Por cada bloque resuelto los mineros reciben un premio que, en el caso de Monero, son 12,6 Moneros.

¿Cuánto se gana?

Según las estimaciones de Talos, un ordenador estándar puede generar 0,25 dólares de Monero al día. Si el cibercriminal tiene bajo su control 2.000 ordenadores, lo cual no es mucho, puede generar 500 dólares diarios. Una botnet con millones de sistemas infectados ganaría unos 100 millones de dólares al año.

En los últimos meses, las tarjetas gráficas usadas para el minado legítimo se han puesto por las nubes y la solución "lógica" han sido los criptomineros, donde los costes de equipos y electricidad son asumidos por las víctimas.

China, con una gran afición al minado, es la victima número uno de los criptomineros, junto con Japón y la India. Recientemente, 16 personas fueron detenidas en China por instalar mineros en los cafés Internet de 30 ciudades. Y en Japón acabamos de ver la primera condena por criptorobo: un chico de 24 años pasará un año en prisión por introducir un minero en un videojuego que ofreció en descarga gratuita.

¿Cómo defiendo a mi empresa de los mineros?

1. Usar extensiones de detección de mineros en los navegadores, como MinerBlock en Chrome y Firefox. Opera los bloquea por defecto.

2. Bloquear en los navegadores las aplicaciones basadas en Javascript, dado que es el lenguaje que usan los minadores en la web. 

3. Pensarlo dos veces antes de abrir un adjunto del correo electrónico.

4. Tener los sistemas siempre actualizados y protegidos con antivirus, cortafuegos y otros programas de prevención.

5. Monitorizar la red y los sistemas, buscando usos anómalos de los recursos.

6. Bloquear el acceso a las direcciones IP y puertos a los que se conectan los criptomineros (todas las empresas antivirus tienen una lista).