Tabla de contenido:
Video: Qué es y como se ejecuta un ransomware (Noviembre 2024)
La criptomoneda puede ser el éxito más notable de la tecnología blockchain, pero no todo es oro. Los mineros han encontrado una nueva forma de ganar dinero para sí mismos al tiempo que reducen sus costos. Es fácil: solo tienen que pagar por ello. Lo que sucede es que los piratas informáticos instalan el código en un sitio donde es probable que lo visite durante un largo período de tiempo. Mientras esté allí, un anuncio infectado inyectará software de minería de criptomonedas en su computadora, donde extraerá dinero mientras intenta hacer otra cosa.
El malware proviene de CoinHive, que se ha vuelto popular entre los hackers. CoinHive permite que el software de minería se ejecute en las computadoras de otras personas y use sus recursos. Según se informa, la extracción de divisas puede absorber alrededor del 80 por ciento de los recursos de una computadora, lo que deja suficiente disponible que la mayoría de las personas aún no notarían durante el uso casual.
El costo comercial
Pero su organización lo notará, especialmente si la minería ilícita de criptomonedas comienza a extenderse en su red o especialmente en sus servidores. Incluso si está pagando por los servicios del centro de datos, esa potencia informática le cuesta dinero para comprar, y si pierde capacidad porque el software no autorizado está consumiendo ciclos de CPU, entonces es posible que deba comprar más capacidad.
También es problemático si sus servidores o incluso las computadoras de su oficina se estancan tanto que no pueden entregar; entonces comenzará a tener problemas para operar procesos clave, lo que significa que podría perder negocios. Si bien esa carga del 80 por ciento podría no notarse en una computadora de consumo, probablemente no esté comprando más potencia de cómputo de la que necesita para el uso comercial, por lo que es mucho más probable que sea un problema. Por ejemplo, durante los períodos pico en los que sus servidores normalmente se ejecutarían casi completamente, de repente simplemente serán algo planos.
Para complicar el problema es el hecho de que muchos de los hackers que usan CoinHive también lo distribuyen desde los servidores de otras personas. Esto significa que, si no está protegiendo sus servidores públicos, podría encontrar que un hacker lo ha instalado en su sitio web. Inadvertidamente, podría terminar pasándolo a sus clientes, quienes probablemente no estarían encantados de saber que lo obtuvieron de usted.
La forma más común en que este malware llega a los servidores es a través de vulnerabilidades en Apache Struts o DotNetNuke, según la gente de TrendLabs de Trend Micro. En caso de que esto suene familiar, fue una vulnerabilidad de Struts lo que llevó a la brecha en Equifax. Esencialmente, un hacker encuentra un sitio web sin parches e instala el malware, que luego lo transfiere a los visitantes.
Protege tus sistemas
Afortunadamente, hay cosas que puedes hacer. El primero, y el que parece desafiar la corrección más ampliamente, es parchear sus sistemas. Las vulnerabilidades en Struts y DotNetNuke han sido parcheadas, pero existen muchos sistemas sin parches.
Además, deberá confirmar que sus servidores y computadoras de oficina han sido parcheados. Esto puede ser más complejo de lo normal, con todos los otros parches relacionados con las vulnerabilidades de Intel. Pero nadie está explotando esos problemas de Intel, pero están utilizando cada exploit que encuentran para ganar dinero con la minería de criptomonedas.
Vale la pena señalar que las vulnerabilidades que se están explotando para la minería de divisas afectan tanto a las máquinas Linux como a Windows, por lo que deberá parchear todos sus servidores independientemente del sistema operativo (SO).
También deberá asegurarse de tener instalada la protección de punto final en todos los puntos finales conectados a Internet con anti-malware actualizado para mantener alejados a los mineros de divisas. La forma en que Trend Micro descubrió la infestación de YouTube fue a través de un gran aumento en el bloqueo de la actividad en ese servicio y las quejas posteriores. Trend Micro y otros servicios, como Malwarebytes, proporcionan versiones empresariales de su software para fines como este.
Entrena a tu personal
Luego, capacite a su personal con dos objetivos en mente. Primero, necesitan saber que si su paquete antimalware los bloquea de un sitio web, entonces la solución no es desactivar la protección antimalware y llegar al sitio de todos modos. En cambio, es para decirle al personal de seguridad lo que encontraron.
El segundo es prestar atención al comportamiento inusual en las computadoras que usan, especialmente cualquier instancia de mal desempeño repentino. La minería de criptomonedas realmente descarga la CPU en una computadora y una desaceleración repentina puede ser la primera señal.
Finalmente, es importante prestar atención a su software de monitoreo. Por lo general, uno de los parámetros que supervisan estos paquetes es la carga de la CPU, por lo que, si ve que el suyo aumenta repentinamente sin una razón específica, tal vez la razón sea la minería de divisas. También debe prestar atención a su software de monitoreo de red porque esas monedas criptográficas deben cargarse de alguna manera. Y si las computadoras en su red están minando, entonces será su red la que se entregará.
Afortunadamente, los crypto jackers (como se les llama) rara vez permiten que su software entregue cosas como ransomware. La razón es que quieren usar su computadora todo el tiempo que puedan. Después de todo, eres su vaca de efectivo y quieren mantener la leche.
