Por Max Heinemeyer, Director de Detección de Amenazas en Darktrace

 

En los últimos meses, una de las principales tendencias en el campo del malware ha sido el crecimiento exponencial de programas para minar criptomonedas. Entre la gran variedad de criptomonedas disponibles actualmente, Monero es una de las preferidas para la minería ilegal, dado que puede minarse de forma rentable desde hardware doméstico, como computadoras y estaciones de trabajo. Además, últimamente se ha extendido mucho la tendencia del movimiento lateral, por el cual —como su nombre lo indica— el malware se propaga entre dispositivos de una misma red para ejecutar sus cargas de trabajo de diversas formas. Este tipo de malware, utilizado en ataques como WannaCry, NotPetya y Bad Rabbit, recurre a técnicas como la encriptación de discos duros con ransomware, al tiempo que instala mineros para explotar Monero.

 

Como Darktrace detecta regularmente intentos de criptominería en el momento en que ocurren, podemos hacer una estimación del flujo de ingresos que obtuvo un cibercriminal como resultado de un ataque de movimiento lateral que identificó la herramienta.

 

El comienzo

 

El mes pasado, el dispositivo de un cliente —al cual llamaremos “paciente cero”— fue infectado por un malware que mina Monero. Al poco tiempo, el paciente cero empezó a buscar discos SMB accesibles escaneando la red interna para detectar dispositivos conectados al puerto 445. Como el dispositivo no registraba actividades de escaneo de red anteriores, Darktrace detectó el proceso y lo identificó como un escaneo inusual de la red y una enumeración de accesos SMB anómala:

El escaneo de la red (se han borrado los nombres de los dispositivos)

El escaneo de la red (se han borrado los nombres de los dispositivos)

En cuanto el paciente cero identificó que podía acceder a las unidades SMB IPC$, ADMIN$ o C$, les transfirió un archivo ejecutable. Después de completada la transferencia, el malware utilizó PsExec para conectarse al dispositivo y ejecutar el software malicioso. Como el paciente cero no había escrito en ningún disco SMB ni había utilizado PsExec de esta manera antes de esta ocasión, inmediatamente se activaron las alertas:

Movimiento lateral (se han borrado los nombres de los dispositivos)

Propagación y contención

El dispositivo ahora infectado empezó a minar Monero e intentó comunicarse a través de Tor2Web con servidores de Comando y Control (C2):

Tráfico con C2 (se han borrado los nombres de los dispositivos)

Con Darktrace, el equipo de seguridad identificó la infección en cuestión de minutos y evaluó el alcance total del malware en menos de una hora. En menos de tres horas desde la detección, el equipo de seguridad ya había ejecutado un script de limpieza en su red y así detuvo la propagación.

 

Estimación de ingresos

 

Hemos realizado una estimación de los ingresos hipotéticos obtenidos a través de este ataque. Para dificultar la detección de estos ataques, algunos de los malware para minar Monero aplican restricciones a la cantidad de subprocesos que se pueden utilizar y limitan la capacidad de uso máximo del CPU. Como resultado, llegamos a las siguientes cifras estimativas teniendo en cuenta el peor escenario posible.

 

Sabemos que 300 máquinas fueron infectadas y que los mineros de Monero estuvieron activos por aproximadamente 4 horas.

 

La rentabilidad de la minería se suele medir en función de la tasa de hash por segundo por núcleo de CPU o GPU. Este parámetro, conocido como hash por segundo (H/S), puede diferir según el tipo de hardware utilizado. Al utilizar el algoritmo CryptoNight para minar Monero, a menudo, se calcula que la tasa de H/S en un solo CPU suele rondar los 20 H/S (en el extremo más bajo del espectro).

 

A diferencia de lo que sucede con las infecciones en CPU, el algoritmo CryptoNight es más eficiente cuando trabaja con GPU y la tasa de H/S que genera puede llegar a ser dos o tres veces mayor. De acuerdo con nuestro enfoque que considera el peor escenario posible, daremos por sentado que todos los dispositivos infectados tienen solo 2 núcleos de CPU y no tienen GPU, de modo que una sola máquina infectada produce 40 H/S. Esto conlleva al siguiente cálculo: 300 dispositivos infectados x 40 H/S = 12,000 H/S.

 

Al utilizar una herramienta para calcular los ingresos obtenidos al minar Monero, se obtuvieron los siguientes resultados: como el precio de la criptomoneda al momento de la infección era de USD 202.43 (sin contar los costos de electricidad), el criminal debería haber ganado aproximadamente USD 15.85 en 24 horas. Como los mineros solo operaron durante 4 horas, las utilidades serían solo USD 2.64. Pero entonces, ¿cómo puede considerarse que eso es rentable?

 

Una cuestión de números

 

Las operaciones para minar criptomonedas están pensadas para extenderse por varios meses, no horas. Si esta infección no hubiese sido detectada, el criminal podría haber ganado USD 15.85 al día o USD 475.62 al mes. Además, es mucho más probable que estas infecciones pasen inadvertidas en redes más grandes. En general, estos ataques de malware suelen ser indiscriminados y, por lo tanto, se lanzan sobre miles de organizaciones al mismo tiempo, lo que da la oportunidad de generar mucho más que unas simples monedas por hora.