Cryptojacking estara remplazando a ransomware como la proxima amenaza?
El monitoreo de las amenazas cibernéticas a lo largo del tiempo revela interesantes perspectivas sobre las estrategias utilizadas por los ciber-delincuentes y la evolución de los vectores de ataque a los que se dirigen.

Si bien el panorama de amenazas continúa siendo bastante diversificado, las tendencias parecen correr en ciclos predecibles. Por ejemplo, durante el último año, el ransomware ha crecido hasta convertirse en una de las amenazas más dominantes en las organizaciones, especialmente en los sectores de la salud, las finanzas y la educación.
A medida que más y más ciberdelincuentes se han sumado a la tendencia, el ransomware como servicio y docenas de variaciones dirigidas a organizaciones de todo el mundo prácticamente lo han convertido en un producto básico. A medida que ha evolucionado, ha aprovechado nuevos canales de entrega como ingeniería social, nuevas técnicas como ataques en varias etapas para evadir la detección e infección de sistemas y nuevos métodos de pago que a menudo involucran criptomonedas.
Por ejemplo, el ransomware GandCrab surgió en enero con la distinción de ser el primer ransomware en requerir criptomoneda Dash como forma de pago.
Según Europol, reclamó 50,000 víctimas en menos de un mes. BlackRuby y SamSam fueron otras dos variantes de ransomware que surgieron durante el primer trimestre de 2018, con SamSam logrando notoriedad especial por derribar la infraestructura administrativa de una gran ciudad de los EE. UU. En marzo. y un ataque separado de ransomware, conocido como Olimpic Destroyer, tuvo como objetivo los Juegos Olímpicos de Invierno justo antes de las ceremonias de apertura.
El gobierno de EE. UU. También anunció el descubrimiento de variantes de malware, conocidas como HARDRAIN y BADCALL, que se han atribuido al equipo de amenazas de Corea del Norte conocido como HIDDEN COBRA.
El volumen de ransomware cayó en el primer trimestre de 2018
Pero a pesar de estos continuos desarrollos, los investigadores de amenazas han comenzado a notar algunos cambios recientes en la tendencia del ransomware. Una medida del éxito del malware es la cantidad de organizaciones a las que puede afectar. En el cuarto trimestre de 2017, por ejemplo, nueve variedades de malware diferentes, incluidas las variantes de ransomware, lograron infectar a más del 10% de todas las organizaciones. Esta ha sido una tendencia durante varios trimestres. Entonces, de repente, en la Q1 de 2018, el número de amenazas que lograron romper el umbral de "1 de cada 10 organizaciones infectadas" bajó a tres, y ninguna de ellas fue ransomware.
Este cambio repentino provocó la pregunta obvia de "¿qué pasó?". La respuesta breve es: "cryptojacking sucedió" ya que dos de las tres variedades de malware que hicieron la lista del 10% eran cryptojacking malware, un vector de ataque emergente que ha experimentado un crecimiento verdaderamente notable durante los primeros meses de 2018.
Cryptojacking afecta a más de 1 en 4 organizaciones
El malware Cryptojacking creció al afectar al 13% de todas las organizaciones en el cuarto trimestre de 2017 al 28% de las empresas en el primer trimestre de 2018, más del doble de su huella. Y el crecimiento de esta variedad de malware se ha detectado en todas las regiones del mundo. Es raro que una amenaza irrumpe en la escena y se mueva tan rápido a la vanguardia, pero eso es exactamente lo que hemos presenciado con cryptojacking en los últimos dos trimestres. También muestra una diversidad increíble para una amenaza relativamente nueva. Los criptominers se han documentado para múltiples sistemas operativos, y para una variedad de criptomonedas.
También parece haber vínculos técnicos entre el ransomware y las comunidades criminales de criptock. Por ejemplo, ETERNAL BLUE se utilizó originalmente en el exploit WannaCry ransomware. Ahora ha sido reutilizado para una campaña de cryptojacking llamada WannaMine. Además, el uso que hace NotPetya de Mimikatz (una herramienta de robo de credenciales muy popular usada para el movimiento lateral) también ha sido imitado por las recientes campañas de criptockacking. ¿Y recuerdas esa vulnerabilidad de Apache Struts que comprometió a Equifax el otoño pasado? Los criptominers también se dirigen a eso. Incluso la vulnerabilidad reciente de Drupal ya se ha convertido en un arma para el criptojackeo.
Por supuesto, ransomware y cryptojacking son bastante similares en términos de cómo deben penetrar y propagarse entre los sistemas. Pero esto puede ser más que un simple caso de una amenaza que copie a otra. Ransomware tiene algunas limitaciones inherentes, como una estrategia pobre a largo plazo para aprovechar las víctimas existentes para obtener ingresos adicionales. Una vez que ransomware golpea a una organización, los delincuentes generalmente pasan a la siguiente víctima.
Otro de los desafíos que enfrenta ransomware es su alto perfil. Las corporaciones han visto el impacto económico y reputacional de tal compromiso, y no quieren quedar atrapados en una trampa de ransomware. Por lo tanto, los equipos de TI están en alerta máxima para proteger sus redes y están adoptando una combinación de detección avanzada de malware, segmentación de red, parches y copias de seguridad externas para luchar. Como resultado, cada vez más organizaciones pueden simplemente negarse a pagar un rescate porque pueden limitar el impacto de un ataque de ransomware y restaurar rápidamente cualquier segmento de la red que se haya visto afectado.
Todo lo cual complica el trabajo del criminal de mantener y actualizar el ransomware para mantenerse por delante de las contramedidas existentes. Al igual que cualquier empresa exitosa, muchas organizaciones de delitos cibernéticos entienden la máxima, "trabajador más inteligente, no más difícil".
Cryptojacking es un modelo muy diferente
Los cryptojackers han descubierto claramente que, si se hace correctamente, aprovechar el poder de procesamiento de un sistema secuestrado para extraer criptomonedas puede ser una empresa potencialmente rentable a largo plazo.
Cryptojacking utiliza malware (generalmente a través de un script cargado en un navegador web) para robar los ciclos de CPU no utilizados y utilizarlos para realizar cálculos cryptomining. Esto puede hacerse infectando directamente un dispositivo con malware o robando indirectamente los ciclos de procesamiento cuando un usuario visita un sitio web comprometido. Las nuevas variaciones de crypto jacking inyectan JavaScript malicioso en un sitio web vulnerable. Las víctimas que simplemente exploran un sitio infectado tendrán secuestrados sus ciclos de CPU para realizar la criptografía.
A diferencia del ransomware, el éxito de este vector de ataque depende de que no se detecte. Las nuevas variaciones que limitan la velocidad, por ejemplo, restringen que el malware crypto jacking consuma más de un cierto porcentaje de CPU disponible, y puede incluso retroceder cuando el uso legítimo alcanza cierto umbral. Esto permite que el malware vuele bajo el radar de los usuarios, ya que nunca interrumpe las operaciones normales del dispositivo.
Los cryptojackers que logran desarrollar y mantener una red de máquinas secuestradas y agregar los resultados a través de un comando central y un centro de control pueden generar ingresos con solo una fracción de la atención causada por el ransomware. Por eso esperamos una continua inversión e innovación en este modelo comercial criminal.
Que se puede hacer?, o lo que tu organización deberia hacer
Si le preocupa que sus sistemas estén buscando y cubriendo los bolsillos de los ciberdelincuentes, comience por verificar el Administrador de tareas (Windows), el Monitor de actividades (Mac) o "arriba" en la línea de comandos de Linux en sus dispositivos conectados. Recopilar y enumerar los procesos que se ejecutan en su red y luego hacer referencias cruzadas con listas de software legítimo o malware criptográfico conocido es una forma de identificar y abordar cualquier aplicación que consuma subrepticiamente recursos. El desafío es que muchas organizaciones ni siquiera mantienen un inventario actual de dispositivos conectados, y mucho menos tienen alguna forma de ver qué aplicaciones se están ejecutando o cuántos recursos están consumiendo. Por eso, una gestión centralizada, una orquestación y una interfaz IoC son esenciales para cualquier sistema de gestión de seguridad o SOC.
Esto es parte del desafío más grande al que se enfrentan los equipos de TI, que es simplemente encontrar el tiempo o las herramientas necesarias para realizar este tipo de actividades de seguridad básicas de seguridad. Demasiados equipos de TI hoy en día simplemente están demasiado estirados implementando proyectos de transformación digital para enfocarse en nuevos vectores de amenazas. Para complicar aún más las cosas, los datos cifrados ahora representan casi el 60% de todo el tráfico de la red, aumentando solo un 6% en el primer trimestre de 2018. A medida que los ciberdelincuentes utilizan cada vez más el cifrado SSL y TLP para ocultar el código malicioso o para filtrar datos, inspeccionar el tráfico cifrado es cada vez más crucial. Desafortunadamente, muchos dispositivos heredados de detección de amenazas y herramientas antivirus basadas en firmas que existen actualmente no tienen la potencia necesaria para inspeccionar adecuadamente el tráfico cifrado a este volumen sin afectar el rendimiento de la red.
Los ciberdelincuentes entienden esto. Que es parte de la razón por la cual cambian constantemente de táctica, herramientas y tecnologías. Dado que es improbable que las organizaciones obtengan un gran aumento en el presupuesto y los recursos, ellos, al igual que sus enemigos cibercriminales, también necesitan trabajar de manera más inteligente que difícil. Lo que se necesita es un sistema integrado de seguridad automatizado que abarque la red distribuida para detectar amenazas y detectar malware, incluida la inspección del tráfico cifrado a velocidades de cable, y luego tomar decisiones autónomas que puedan reunir todos los recursos disponibles para responder a esas amenazas en tiempo real. Hasta que eso suceda, es probable que los ciberdelincuentes sigan un paso por delante en la carrera de armamentos de seguridad.
para mayor Informacion o solitar una evaluacion complementaria click aqui