Cómo detectar a los criptomineros infiltrados en nuestra web
El criptojacking es una amenaza oculta en un ordenador, en un dispositivo móvil o en un servicio web que utiliza los recursos de la máquina infectada para la minería de criptomonedas. Esta «nueva» amenaza puede apoderarse de navegadores web y comprometer todo tipo de dispositivos, desde ordenadores de escritorio y portátiles hasta teléfonos inteligentes o servidores de red.
Las criptomonedas y su elevado valor son razones suficientes como para que los delincuentes decidan asaltar dispositivos ajenos con el fin de utilizar sus recursos (principalmente, memoria RAM) para minar. Como podemos imaginar, el primer síntoma de que estamos siendo infectados es, precisamente, el rendimiento reducido del sistema infectado.
Cómo funciona el criptojacking
La criptominería es el proceso de creación de unidades de criptodivisas. La mayor parte de las criptodivisas populares como Bitcoin, son, por así decirlo, problemas matemáticos cuya solución resulta en unidades de moneda que se añade a la cadena de bloques. Así, los ciclos de la CPU se convierten, literalmente, en dinero. Es un proceso totalmente legal, pero la criptominería criminal, o criptojacking, utiliza la potencia y los ciclos de CPU de máquinas secuestradas para ganar dinero.
En estos casos, un actor malicioso secuestra los sistemas a través de servidores y navegadores web, inyectando normalmente JavaScript malicioso en los servidores para que, cuando los usuarios visiten un sitio web determinado, sus navegadores se infecten. Así, el dispositivo desde el cual se realizó ese proceso se convierte en un esclavo que trabajará para generar más criptomonedas para ese delincuente, o grupo de ellos.
Cómo detectar que somos víctimas de criptojacking
Para detectar estos ataques sin tener que esperar a que las prestaciones hayan caído de manera dramática, existen ciertas estrategias y herramientas que harán este trabajo de forma pasiva.
- Supervisar el rendimiento de la red. Es casi obvio decir esto, pero es necesario revisar el rendimiento de los sistemas de red de manera constante, ya sea mediante herramientas de monitorización o alertando a los usuarios finales para que reporten cualquier uso excesivo (anómalo o injustificado de la CPU), cambios en la temperatura o velocidades de los ventiladores más rápidas de lo normal. Aunque esto puede ser un indicativo de que las aplicaciones empresariales estén mal codificadas u optimizadas, pueden indicar la existencia de malware oculto. Esto no es la panacea, porque los atacantes son capaces de limitar la demanda de CPU para ocultar su impacto.
- Revisar los registros en busca de conexiones no autorizadas. Los registros del cortafuegos y proxy son un buen lugar para buscar conexiones inesperadas. Lo ideal es siempre saber exactamente a qué ubicaciones y direcciones de Internet están autorizados a conectarse los recursos (y usuarios) de la empresa. Este proceso puede ser engorroso, así que, al menos, es necesario revisar los registros del cortafuegos y bloquear las ubicaciones ya conocidas donde operan los criptomineros maliciosos. Además, buscar patrones que incluyan *xmr.* *pool.com *pool.org y pool.* es útil para ver si alguien o algo está haciendo mal uso de su red.
- Utilizar extensiones de navegador que bloquean las criptomonedas. Esta opción nos permite asegurar los navegadores. Estas extensiones vigilan y bloquean el minado de las criptomonedas. No Coin y MinerBlocker son dos conocidas que vigilan la actividad sospechosa y bloquean los ataques. Están disponibles para Chrome, Opera y Firefox. También puede bloquear la ejecución de JavaScript en el navegador.
Estas tres son las maneras principales de detectar si algún agente malintencionado pretende utilizar nuestros recursos para minar criptomonedas. Una vez detectados los intrusos, sólo quedaría bloquearlos y eliminarlos utilizando herramientas antimalware que dispongan entre sus características de la eliminación de malware. También es posible bloquear la ejecución de javascript a nivel de navegador, al menos, como medida preventiva rápida.