FireEye publica un informe en el que se explica el interés de los actores de amenazas por el malware para minar criptomonedas o cryptojacking, por qué Monero es la moneda de preferencia para estas operaciones, los países y sectores más afectados, las tácticas empleadas, etc.

Los cibercriminales tienden a favorecer las criptomonedas porque proporcionan cierto nivel de anonimato y pueden monetizarse rápidamente. Este interés ha crecido en los últimos años, yendo más allá del deseo de usar las criptodivisas simplemente como método de pago de herramientas y servicios ilícitos. Muchos actores también han intentado aprovechar la creciente popularidad de las criptomonedas, y su consecuente precio creciente, realizando varias operaciones dirigidas hacia ellas. Estas operaciones maliciosas incluyen minado de criptomonedas (también llamado cryptojacking), la recopilación de credenciales de monederos de criptodivisas, actividades de extorsión y el ataque de las casas de cambio de criptomonedas.

FireEye ha observado diferentes tendencias relacionadas con el cryptojacking, incluyendo módulos de minado de criptomonedas a familias de malware populares, un aumento en los ataques para minar, el uso de aplicaciones móviles que contienen código de cryptojacking, su uso como una amenaza para las infraestructuras críticas y distintos mecanismos de distribución.

Interés del mundo underground

FireEye iSIGHT Intelligence ha identificado el interés de los cibercriminales en temas relacionados con el minado de criptomonedas desde al menos 2009 en las comunidades underground. Las palabras clave que obtuvieron volúmenes significativos incluyeron minero (miner), cryptonight, stratum, xmrig y cpuminer. Aunque la búsqueda de ciertas palabras clave no proporcionan contexto, la frecuencia de estas palabras clave relacionadas con el minado muestran un fuerte incremento en conversaciones a principios de 2017. Es probable que al menos una parte de actores prefieren el cryptojacking porque no atrae tanta atención por parte de las fuerzas del orden.

Monero es el rey

La mayoría de las operaciones de cryptojacking recientes se han centrado de forma aplastante en minar Monero, una criptomoneda de código abierto basada en el protocolo CryptoNote, como una bifurcación de Bytecoin. A diferencia de  muchas criptomonedas, Monero usa una tecnología única denominada “firmas ring”, que mezcla aleatoriamente la claves públicas de los usuarios para eliminar la posibilidad de identificar a un usuario en particular, asegurando que no sea rastreable. Monero también emplea un protocolo que genera múltiples direcciones únicas de un solo uso, que sólo pueden ser asociadas con el destinatario del pago y es inviable que sean reveladas a través del análisis de blockchain (cadena de bloques); asegurando que sea imposible que las transacciones de Monero sean vinculadas a alguien, a la vez que también son seguras criptográficamente.

La cadena de bloques de Monero también usa lo que se llama un algoritmo hash criptográfico “memory-hard” (de disco duro) denominado CryptoNight y, a diferencia del algoritmo SHA-256 de Bitcoin, impide el minado del chip ASIC (circuito integrado de aplicación específica). Esta característica es crítica para los desarrolladores de Moneroy permite el minado con CPU para que continúe siendo factible y rentable. Debido a estas características inherentes centradas en la privacidad y la rentabilidad de la minería con CPU, Monero se ha convertido en una opción atractiva para los cibercriminales.

Anuncios underground sobre utilidades para minar

Ya que la mayoría de las utilidades para minar son pequeñas herramientas de código abierto, muchos criminales confían en los crypters, que son herramientas que emplean técnicas de cifrado, ofuscación y manipulación de código para hacer que sean herramientas y malware completamente indetectables. Esta tabla destaca algunas de las utilidades para minar más reutilizadas usualmente.

FireEye ha identificado varios ejemplos de anuncios de herramientas utilizdas usualmente para minar en los foros y mercados underground. Estos anuncios incluyen desde utilidades únicamente para minar a otras combinadas con más funciones como recolectores de credenciales, herramientas de administración remota (RAT), capacidades de propagación por USB y de denegación de servicio distribuido (DDoS).