Casas de cambio son el blanco de ataques cibernéticos este 2018

En lo que va de 2018, la mayoría de las compañías de seguridad reportan un significativo auge de ataques cibernéticos a las casas de cambio de criptomonedas, la mayoría de ellos dirigidos a la obtención ilegal de estas divisas digitales, mediante variadas técnicas informáticas.

En ese sentido, los más recientes informes de amenazas de las empresas destacan el aumento del interés de los ciberdelincuentes por obtener criptomonedas, en el marco de un mayor nivel de adopción alcanzado por el ecosistema emergente.

Sobre ello, un informe de CyberSecurity Threatscape, de la firma Positive Technologies,  determinó para el segundo trimestre de 2018 los ataques cibernéticos estuvieron principalmente dirigidos contra casas de cambio de criptomonedas, además de redes corporativas y sus clientes. Aunque también se vieron afectados unos 765 millones de usuarios ordinarios, con pérdidas de decenas de millones de dólares.

De acuerdo al citado estudio estos ataques no solo experimentaron un aumento del 47% en relación al segundo trimestre de 2017, sino que se están volviendo cada vez más sofisticados. Esto ocurre porque utilizan varios tipos de malware, al tiempo de valerse de los exploit de día cero, un ciberataque que se produce el mismo día en que se descubre una vulnerabilidad en el software, junto a ataques web y ataques DDoS, además de técnicas de ingeniería social para robar contraseñas a los administradores.

Es así como el phishing se mantiene como uno de los métodos más usados para obtener información, pues la investigación también detectó que uno de los principales objetivos de los atacantes es el robo de datos, para su posterior venta en la web oscura. Por eso, busca de forma específica la información personal (30%) y las credenciales para banca en línea (22%).

Los datos presentados en informes de otras empresas de seguridad son, en su mayoría, consistentes con estos planteamientos, destacando también la idea de que los ciberdelincuentes están cada vez más enfocados en la consecución de criptoactivos. En ese sentido, la Alianza de Amenazas Cibernéticas (CTA) reportó en septiembre pasado que los ataques cibernéticos relacionados con criptomonedas aumentaron un 459% en lo que va del 2018.

El auge del malware

Entre los tipos de ataque más conocidos, que ahora tienen como blanco a las criptomonedas, se halla el malware.  La palabra es una abreviatura de los términos ingleses malicious software y bajo este concepto se engloban a todos aquellos virus informáticos que infectan a otros archivos de un sistema, con el fin de modificarlos o dañarlos.

Las cifras de la empresa de seguridad Webroot indican que estos ataques con malware representaron el 52% de las amenazas en el primer semestre de 2018. Dentro de esta clasificación se agrupan diferentes tipos de virus como los troyanos (trojans), gusanos (worm), los robots capaces de controlar todos los ordenadores/servidores infectados de forma remota (botnets), el ransomware (solicitud de pago de rescate por archivos encriptados) y los programas espías (spyware).

También se suman a este grupo el adware, un software que exhibe publicidad no deseada y genera ganancias al atacante; los robos o secuestros de información; conexiones o redes (hijackers); los falsos antivirus (FakeAVs);  y los keyloggers, software o hardware que puede interceptar y guardar las pulsaciones realizadas en el teclado de un equipo infectado.

Según Positive Technologies muchos de estos virus estuvieron presentes en el 63% de los ataques cibernéticos realizados entre enero y marzo de este año, y en el 49% de los efectuados entre abril y julio de 2018.

Los métodos de infección más comunes consistieron en comprometer los servidores y las estaciones de trabajo utilizando sus vulnerabilidades para acceder (exploit), labores de ingeniería social y uso contraseñas forzadas con fuerza bruta; además de implantar software malicioso en los dispositivos a través de sitios web infectados, junto al envío a través de correo electrónico de archivos  y enlaces infectados, los cuales también suelen ser anexados en sitios piratas de descarga o actualización de programas y aplicaciones.

Ransomware, uno de los preferidos

Dentro de los malwares que han ido adquiriendo más relación con las criptomonedas se encuentra el ransomware, que consiste en restringir el acceso de una víctima a su sistema para luego exigir el pago de un rescate a fin de eliminar la restricción. Es uno de los códigos maliciosos más extendidos y la vez más temidos de los últimos años.

El virus entra en el sistema operativo de los equipos de las víctimas cifrando la información guardada en sus computadoras. Luego de la encriptación, se le pide a la persona un pago, generalmente en criptomonedas. Los ataques más peligrosos los han causado ransomware como WannaCry, NotPetya, Bad Rabbit, Cryptolocker y Locky.

En este 2018 el protagonismo lo ha adquirido GandCrab, el cual trae como novedad que su petición de pago de rescate exige la cancelación con dash, además de bitcoin. En lo que va de este año los ciberdelincuentes han desarrollado unas 5 versiones de este virus.

La Oficina Europea de Policía (Europol) informó esta semana que este ransomware ha  causando la infección de los equipos de casi medio millón de personas; mientras  los datos de la firma rumana de seguridad, Bitdefender, señalan que este virus malicioso ha cobrado unas 50.000 víctimas solo en este último mes.

De acuerdo a las investigaciones de ESET, Latinoamérica se ha convertido en una de las regiones del mundo donde más se ha propagado GandCrab, con 5 países de la región ubicados entre los 10 primeros con la  mayor cantidad de detecciones: Perú, México, Ecuador, Colombia y Brasil.

Además de GandCrab, BlackRuby y SamSam son otras dos variantes de ransomware que surgieron como amenazas importantes en 2018. El primero ofrece a los atacantes la posibilidad de elegir a las víctimas por país, al tiempo de facilitar que el dispositivo infectado pueda ser usado para minar criptomonedas, sin el consentimiento del dueño.

SamSam por su parte se ha dirigido principalmente contra instituciones públicas, sobre todo estadounidenses. Según un estudio de Sophos, firma de seguridad británica, sus creadores han podido recaudar un total de 6 millones de dólares encriptando archivos en la red.

Entre otras tendencias en crecimiento, en cuanto a los ataques de ransomware, está la explotación de conexiones no seguras de escritorio (remote desktop protocol o RDP), mediante las cuales se accede a los sistemas operativos para infectarlos.

Con los ransomware, los cibercriminales han obtenido lucrativas ganancias este año. La sofisticación de los métodos avanza también gracias a la adquisión de un kit que facilita el lanzamiento de ataques de malware rápidos y fáciles, con un cargo de 30% por el pago recibido.  La Europol afirma que este esquema se hace más lucrativo en la medida en que se trabaja en equipo, pues los atacantes se asocian con otros servicios en la cadena de suministro de delitos informáticos.

La minería oculta como novedad

La investigación de  Webroot también resalta el hecho de que los ciberdelincuentes están desarrollando métodos de ataque cada vez más elaborados, con el fin de hacer dinero, por lo cual las técnicas de ransomware han evolucionado hacia la minería oculta.

Son métodos que proporcionan una forma ilícita y no consensuada de extraer criptomonedas. Entre las estrategias más utilizadas está el secuestro (hijacking) de una página web por medio de la instalación de un malware de minería de criptomonedas de incógnito, conocida como cryptojacking. 

Un informe de Global Threat Landscape Report ratificó esta transición del ransomware al cryptojacking, debido a que resulta más rentable para los ciberdelincuentes utilizar la minería de criptomonedas oculta, en vez de pedir un rescate. En ese sentido, la investigación acota que el malware de criptominado experimentó un repunte en Oriente Medio, Latinoamérica y África, pasando del 13% al 28% en 2018.

La minería  oculta ha proliferado en el formato de scripts instalados en el código fuente de las páginas web, siendo CoinHive una de las de las herramientas más conocidas. Webroot asegura que estos scripts maliciosos representaron el 35% de las amenazas de este año.

El reporte realizado por la CTA señala que  este tipo de ataques no solo se incrementan, sino que su incidencia no disminuirá en el próximo año, en virtud de que la herramienta Eternal Blue, de la Agencia de Seguridad Nacional (NSA) de Estados Unidos, fue obtenida por hackers en 2017 y actualmente es utilizada para violar las vulnerabilidades de los sistemas operativos Windows de Microsoft. En consecuencia, los criminales se están valiendo de Eternal Blue para acceder a las computadoras e instalar mineros de forma secreta, y así usar el poder de procesamiento del CPU de los usuarios.

La mayoría de los ataques están diseñados para explotar monero (XMR), una criptomoneda anónima y de código abierto, usando las computadoras de terceros al momento de que estos usuarios ingresan a una página web específica.

Otras técnicas en avance

Además del ransomware y la minería oculta, el cibercrimen se está valiendo de varios tipo de adware para obtener ganancias. Una información publicada recientemente en el portal Fortinet señala la detección de un grupo de aplicaciones engañosas para Android, disponibles en la Play Store de Google, prometiendo al usuario opciones para minar criptomonedas.

El objetivo de los desarrolladores es recibir ganancias por mostrar anuncios a través de las aplicaciones.  De esta forma, los usuarios son engañados para que descarguen el adware (software publicitario), creyendo estar descargando una aplicación de minería. Estas herramientas, conocidas como falsos mineros (fake miners), fueron detectadas inicialmente por el investigador de seguridad móvil de ESET, Lukas Stefanko, quien en febrero pasado descubrió varias aplicaciones de este tipo.

Ante el auge y la sofisticación que vienen tomando todas estas estrategias de malware, las empresas de seguridad informática recomiendan, como principal medida de seguridad, ser cuidadosos al descargar y actualizar programas o al abrir enlaces y archivos adjuntos -tanto de páginas web como de mensajes recibidos por correo electrónico-. En caso de ser atacado con ransomware, aconsejan no hacer el pago del rescate solicitado.

Otras medidas preventivas incluyen la revisión de los enlaces de los desarrolladores de las aplicaciones y programas a descargar, así como los de las empresas vinculadas, tomando en cuenta sus calificaciones y comentarios. También se aconseja el uso de la autenticación en dos pasos. La instalación de software de seguridad para computadoras de escritorio y teléfonos móviles es obligatoria.

Imagen destacada por peshkov / stock.adobe.com