En los últimos años, el auge de ransomware acaparó la atención de expertos en seguridad a lo largo del mundo. La diversificación de esta amenaza y su intensa actividad crecieron hasta convertiste hoy en la base del cibercrimen moderno. No obstante, la fiebre por las criptomonedas encontró rápidamente otra forma de expresión: el cryptojacking, es decir, el secuestro de la capacidad de procesamiento de un equipo ajeno para ganar dinero mediante la minería de monedas.
Potenciado por la proliferación de vulnerabilidades, el impacto del cryptojacking fue creciendo silenciosamente hasta ubicar a los mineros entre las amenazas más detectadas, tanto localmente como a nivel internacional. Por eso, en este artículo te contamos cómo se posiciona América Latina al respecto y analizamos las posibles causantes de esta tendencia.
Mineros en Latinoamérica: Perú es el país con mayor cantidad de detecciones
El minado de monedas se posicionó rápidamente entre una de las "amenazas" más populares para usuarios del mundo entero. De hecho, el top 10 de amenazas más detectadas a nivel internacional incluye tres familias de mineros. Si analizamos las estadísticas para el último mes, el primer puesto se lo lleva JS/CoinMiner: un script de minería usualmente relacionado al servicio CoinHive y detectado por nuestros laboratorios como una PUA o “Aplicación Potencialmente Indeseada”, ya que puede estar vinculado tanto al cryptojacking como al minado legítimo de monedas.
En cuarto y quinto lugar encontramos dos variantes de mineros que afectan al sistema operativo Windows, bajo las firmas de Win32/CoinMiner y Win64/CoinMiner. En estos casos, estas familias genéricas agrupan a más de 1700 tipos diferentes de troyanos capaces de minar criptomonedas en el equipo infectado. Cabe notar que, aunque las primeras detecciones de estas familias hayan ocurrido por el año 2011, el pico de actividad se está dando recién ahora, en 2018.
Si tenemos en cuenta estas tres firmas antes mencionadas, el 22% de las detecciones mundiales durante 2018 corresponde a América Latina. A su vez, el 42% de las detecciones latinoamericanas pertenecen a Perú, país donde el impacto de los mineros se siente con más fuerza. En este país, el 56% de las detecciones de mineros pertenecen a la familia JS/CoinMiner que mencionamos anteriormente.
De hecho, Perú (9%) es el segundo país con mayor cantidad de detecciones de mineros a nivel mundial, justo detrás de Rusia (10%). Que estos dos países concentren casi el 20% de las detecciones de mineros a nivel global llama sumamente la atención, considerando la diferencia poblacional, de más de 100 millones de habitantes, entre ambos países. Asimismo, el top 5 de detecciones a nivel internacional lo completa Ucrania (4,8%), España (4,8%) y Tailandia (4,5%).
Vulnerabilidades y criptomonedas, el cóctel del cibercrimen moderno
Si volvemos a centrar nuestra atención sobre el ranking internacional de detecciones durante el pasado mes, veremos que, en segundo lugar, encontramos al reconocido exploit SMB/Exploit.DoublePulsar relacionado a los pasados ataques de WannaCryptor, Not-Petya, Bad Rabbit, entre otros. El hecho de que este agente se posicione como una de las principales detecciones en el mundo nos indica el afán de los atacantes para intentar sacar provecho de esta vulnerabilidad que continúa presente en sistemas desactualizados de Microsoft.
Este dato refleja una realidad ineludible: las vulnerabilidades se han convertido en una de las principales puertas de acceso para los cibercriminales y, por desgracia, estas puertas parecen multiplicarse con el correr del tiempo. En este sentido, el 2017 registró un máximo histórico en la cantidad de vulnerabilidades reportadas, siendo más del doble que las fallas reportadas durante 2016.
La combinación de la fiebre por las criptomonedas y una mayor cantidad de vulnerabilidades se transformó en un cóctel explosivo para la industria del cibercrimen. El acceso ilegítimo y la modificación de sitios web para la inclusión de scripts de minado ha dado que hablar en los pasados meses, especialmente cuando llega a afectar a empresas o instituciones reconocidas, como fue el caso de StarBucks en Buenos Aires, Argentina o el caso en el que se vieron afectados sitios del gobierno de EE.UU. y Reino Unido.
Pero los atacantes no solo están modificando plataformas en línea populares; también, se inmiscuyen en los sistemas de las organizaciones para utilizar la enorme capacidad de procesamiento de sus servidores para minar. Desde comienzos del corriente año, un gusano minero capaz de explotar la vulnerabilidad Eternal Blue ha causado diferentes brotes de infección. Debido a su naturaleza similar a la de WannaCryptor, esta nueva amenaza ha sido nombrada WannaMine y ejemplifica a la perfección al fenómeno de colisión entre explotación y cryptojacking que vivenciamos actualmente y que podría agravarse en un futuro inmediato.
¿Qué hacemos ante este escenario? Por supuesto, nuevamente la clave para la defensa es la prevención. La actualización de los sistemas operativos y aplicaciones, y la implementación de soluciones de seguridad serán cruciales en una era donde la capacidad de procesamiento vale oro… o bitcoins y moneros.