¿Por qué un CISO se debe preocupar por el interés del cibercrimen en las criptomonedas?

Conexiones

El año 2017 puede ser considerado un punto de inflexión para las criptomonedas, no sólo el Bitcoin alcanzó un precio histórico de más de 20 mil dólares, sino el mundo volteó a ver a las monedas digitales como algo que se puede convertir en una alternativa para el pago de bienes y servicios, hecho reforzado por grandes conglomerados a nivel mundial como Microsoft, que ya acepta el pago en Bitcoins para productos como Xbox.

Aunque el concepto de criptomoneda llegó a las masas recientemente, recordemos que para el cibercrimen ha sido una excelente alternativa para el cobro de ciberextorsiones desde hace ya varios años. Lo que ha cambiado es que, en lugar de exigir el pago en Bitcoins, los atacantes ya aceptan Monero, criptomoneda que es popular por conservar el anonimato de las transacciones, y recientemente empezaron a pedir Ethereum, como sucede con el ransomware “planetary”.

Más allá de que en el caso de sufrir una infección de ransomware una organización tenga que pagar lo demandado por el atacante para recuperar los datos, ¿por qué a un CISO le debería preocupar la evolución de las criptomonedas? La respuesta se encuentra en la motivación primaria del cibercrimen, que es obtener un beneficio económico, que puede darse de varias maneras:

 

  • Infección de equipos para minado. SCILabs ha observado como tendencia hacia finales de 2017 y principios de 2018 la disminución de ransomware, sin embargo, ha aumentado radicalmente la detección de malware que instala mecanismos de minado en los equipos de la organización, cuidando que el uso del CPU no exceda cierto límite para evitar llamar la atención de los administradores. El vector de infección es parecido al del malware tradicional, sin embargo, predomina el uso de anuncios que al dar un clic insertan un código de Javascript que habilita el minado en el equipo. También se encuentran los Exploit Kits, que descargan el mecanismo de minado a los equipos infectados, y en muchos de los casos se siguen observando movimientos laterales para buscar granjas de servidores con alta capacidad de procesamiento; incluso existen versiones de malware que integran las mismas técnicas de dispersión empleadas por WannaCry para poder distribuirse de manera desapercibida.

 

  • Infección de servidores con alta capacidad de procesamiento. Dado que la capacidad de minado de un equipo depende de sus características de procesamiento, muchos atacantes están a la caza de dispositivos de alto desempeño para utilizarlos en el minado de criptomonedas. Uno de los casos más conocidos es el de Tesla, en el que los atacantes implantaron software de minado en sus servidores colocados en una nube pública de Amazon. En su momento los atacantes buscaban bases de datos expuestas para lanzarles ransomware y posteriormente cobrar un rescate, sin embargo, ahora invierten sus esfuerzos en localizar equipos dedicados a Elastic Search, procesamiento de bases de datos, o cualquier otra función que prometa que el servidor tendrá alta capacidad de procesamiento.

 

  • Transacciones mediante sistemas interbancarios. Es ya de dominio público que equipos de hackers como “Lazarus Group”, patrocinado aparentemente por Corea del Norte, han estado detrás de muchos ataques a la red del SWIFT. Uno de los ataques más sonados es el caso del banco de Bangladés en el que por un error humano no se concretó un robo de mil millones de dólares y solo se transfirieron 85. Como este caso, existen muchas otras organizaciones víctima; en general se cree que otros atacantes están usando el mismo vector de ataque con la diferencia de que en algunos casos se enfocan no sólo en SWIFT, sino también en otros sistemas de pagos interbancarios tipo “RTGS”, dado que cuando son descubiertos y las organizaciones buscan recuperar parte o el monto total de la transacción fraudulenta, los atacantes empiezan a mover los fondos a criptomonedas, mismas que no son rastreables.

 

Adicionalmente, se han observado vectores mediante los que los atacantes lanzan ataques masivos de ransomware para distraer a la organización, mientras penetran hasta los equipos de interés y realizan los movimientos interbancarios que constituyen el ataque principal.

 

  • Ingeniería social para transferencias relacionadas con compra de criptomonedas. En el pasado SCILabs había identificado un tipo de fraude en el cual los atacantes comprometen a una organización que es proveedor y recibe pagos por sus bienes o servicios, para posteriormente apropiarse de la cuenta de correo de la persona que se encarga de realizar la cobranza, con ello envía mensajes a sus clientes diciendo que la cuenta para realizar los pagos ha cambiado, siendo ahora la del atacante. En los casos observados, la disputa entre los clientes y la organización comprometida pueden llevar días, por lo que para el momento en que se dan cuenta de que se trata de un fraude, los atacantes ya han movido los fondos a cuentas en el extranjero. La variante observada de manera reciente consiste en que en la cuenta que envía el atacante para recibir el pago de los clientes es en realidad una cuenta asociada a la compra de criptomonedas, por lo que el dinero es movido rápidamente y ya no puede ser rastreado.

 

 

Además de lo anterior, se ha observado que no es suficiente con prepararse para hacerle frente al cibercrimen, ahora los CISO también deben preocuparse por auditar a sus propios desarrolladores ya que existen casos en los que ellos mismos son quienes colocan el software de minado dentro de los equipos con mayor capacidad de procesamiento; un ejemplo de esto sucedió en Rusia donde el equipo de desarrollo colocó un software de minado en una supercomputadora dedicada al programa nuclear.

 

Casos ha habido muchos, y al no considerarse el software de minado un malware, difícilmente una solución de seguridad tradicional detectará que un equipo está siendo usado para este fin de manera desapercibida. Por ello es importante contar con un equipo de personas que monitoreen de manera permanente la seguridad de los equipos de la organización, y que sean capaces de analizar alertas basadas en comportamiento para determinar si los equipos están siendo utilizados para generar criptomonedas a costa de los recursos de la compañía.

 

 

[email protected]

Imelda Flores Monterrosas. CISSP, ITIL, CCNA Security, Cisco IPS y Optenet administrator

Trabaja en Scitum desde el año 2010. Actualmente es Incident Manager y está a cargo del proceso de monitoreo de disponibilidad y desempeño para los clientes del SOC. Previamente se desempeñó como soporte de tercer nivel en Avaya-Nortel para Norteamérica y anteriormente trabajo en la validación de nuevas tecnologías en Nortel Networks. Cuenta con experiencia en la operación de servicios administrados, arquitectura de soluciones de monitoreo así como en el diseño e implantación de procesos de TI. Ha impartido diplomados sobre troubleshooting y cursos de distintos procesos, así como temas varios de redes, análisis de fallas y monitoreo. 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.