ES

De enero de 2019 a abril de 2020

Cripto
jacking
Panorama de amenazas de ENISA
Visión general

Cryptojacking (también conocido como cryptomining) es el uso no autorizado de los recursos de un dispositivo

para extraer criptomonedas. Los objetivos incluyen cualquier dispositivo conectado, como computadoras y

teléfonos móviles; sin embargo, los ciberdelincuentes se han dirigido cada vez más a las infraestructuras en la

nube. 1

Este tipo de ataque no ha atraído mucha atención de las fuerzas del orden y rara vez se denuncia su
abuso. 2 , principalmente debido a sus relativamente pocas consecuencias negativas. No obstante, las
organizaciones pueden notar mayores costos de TI, componentes informáticos degradados, mayor
consumo de electricidad y menor productividad de los empleados debido a estaciones de trabajo
más lentas. 3

3% 13%
Otro
18%
Jsecoin

XMRig

22% RubyMiner

Cryptoloot

21% Coinhive

WannaMine

2% 21%

Figura 1: El principal malware de criptominería a nivel mundial. Fuente: Check Point 9

2
__Recomendaciones

64,1_ millones de hits de cryptojacking a finales de 2019

78% _ disminución de las actividades de cryptojacking en

el segundo semestre de 2019 en comparación con el primer semestre

Las actividades crecieron un 9% en el primer semestre de 2019 en comparación con los 6 meses
anteriores de 2018. 4 , 5

sesenta y cinco%_ de los 120 intercambios más populares en el tercer

trimestre de 2019 tenían procesos de conozca a su cliente (KYC) débiles o porosos

El 32% de los intercambios negociaron monedas de privacidad. 6

39,3% _ de las infecciones de criptominería de 2019 se dirigieron a

Japón.
El 20,8% de las infecciones por minería criptográfica se dirigieron a India y el 14,2% a Taiwán,
figura 1 describe los cinco países con los intentos de infección de malware de minero de
criptomonedas más detectados para 2018 y
2019. 7

13% _ de los incidentes de cryptojacking se

atribuyen a trojan.Win32.Miner.bbb
Durante el período de noviembre de 2018 a octubre de 2019, los siguientes mineros
más activos fueron Trojan.Win32.Miner.ays (11,35%), Trojan.JS.Miner.m (11,12%). 6

3
 Matar cadena

Cryptojacking

Reconocimiento Armamento Entrega Explotación

Paso de ataque Flujo de trabajo

Ancho de propósito

4
 Cryptojacking

Comando y Acciones en
Instalación Controlar Objetivos

La cadena Cyber Kill ® El framework fue desarrollado por Lockheed Martin, adaptado de
un concepto militar relacionado con la estructura de un ataque. Para estudiar un vector
de ataque en particular, use este diagrama de cadena de muerte para mapear cada
paso del proceso y hacer referencia a las herramientas, técnicas y procedimientos
utilizados por el atacante.

MÁS INFORMACIÓN

5
Tendencias

_ El popular servicio de criptominería Coinhive

cerró
Coinhive comenzó en septiembre de 2017 y se publicitó como una fuente de ingresos alternativa para
desarrolladores web en lugar de anuncios publicitarios. 24 Utilizaba bibliotecas de JavaScript, que podían
instalarse en sitios web, y el poder de procesamiento del visitante para minar criptomonedas legítimamente.
Hasta su cierre, en marzo de 2019, los actores de amenazas habían abusado mucho de él y habían
inyectado código en sitios web pirateados para extraer la criptomoneda Monero y desviar fondos a sus
propios bolsillos. Después de su cierre, el volumen de hits de cryptojacking basados en web se redujo en
un 78% durante la segunda mitad de

2019. 4 Como resultado de esta disminución, los ciberdelincuentes comenzaron a centrarse en objetivos de mayor
valor, como servidores potentes. 9 e infraestructuras en la nube. 1

El lugar de Coinhive en la parte superior ha sido tomado desde entonces. 9 por Jsecoin (22%), XMRig (21%) y

Cryptoloot (21%). La distribución del principal malware de criptominería a nivel mundial se presenta en la Figura 1 .

_ Más ataques a las infraestructuras en la nube

Se observó una tendencia creciente en la primera mitad de 2019, con respecto a incidentes de ataques de minería

de criptomonedas en la nube. 15 , 25 Los entornos en la nube suelen emplear mecanismos que adaptan los recursos a

pedido y, por lo tanto, son objetivos lucrativos para ejecutar software de minería. Sin embargo, esto se produce a

expensas de los propietarios de sitios web, quienes a su vez deben pagar facturas más altas por exceder las

cuotas. 15 En el primer semestre de 2019, las vulnerabilidades en el software de contenedores en la nube

aumentaron en un 46% en comparación con el mismo período en

2018. 26 Los atacantes han logrado explotar interfaces de programación de aplicaciones (API) y
plataformas de gestión de contenedores para instalar imágenes maliciosas (por ejemplo,
Docker y Kubernetes) y extraer criptomonedas. 25

6
__Incidentes

Abril 2019_ La campaña de criptojacking apodada Beapy, explotó

la vulnerabilidad EternalBlue y afectó a empresas en China 3

Mayo 2019_ Monero-miningmalware PCASTLE

principalmente dirigidos a sistemas basados en China, mediante el empleo de técnicas de
llegada sin archivos 19

Se descubrió que más de 50.000 servidores pertenecientes a empresas de los sectores de la salud, las
telecomunicaciones, los medios de comunicación y las tecnologías de la información estaban infectados por
malware que extraía la criptomoneda TurtleCoin (TRTL). 20

Una nueva familia de malware llamada BlackSquid utilizó ocho exploits conocidos,
incluidos EternalBlue y DoublePulsar, y posteriormente se extendió a servidores web en
Tailandia y Estados Unidos para entregar scripts de minería de Monero. 17 , 21

Agosto 2019_ Cryptojackingmalware encontrado en 11 repositorios de

lenguaje RubyGem, exponiendo a miles de usuarios al código de
criptominería 22

7
Tendencias

_ Cambio hacia la criptominería basada en archivos

En 2019, se notó una disminución en el cryptojacking basado en navegador a favor del cryptomining basado
en archivos. Criptominería basada en archivos 27 los ataques se propagan a través de malware y hacen uso de
exploits preexistentes en sistemas operativos sin parches como EternalBlue y otras vulnerabilidades de alto
riesgo. Los factores que contribuyeron a este cambio fueron el cierre del popular proveedor de minería
basado en la web Coinhive. 1 y la disminución de los valores de las criptomonedas. 10 Otro factor es que la
criptominería basada en archivos siempre ha sido más eficiente que la minería basada en la web, siendo 25
veces más rentable. 3

Los actores de amenazas adaptaron su malware con herramientas adicionales para extraer información

confidencial de la computadora de la víctima.

_ Los ataques de criptojacking en todo el mundo están

disminuyendo

En 2019, una tendencia a la baja 5 , en criptojacking se notaron ataques, principalmente debido al cierre de
Coinhive 6 , los esfuerzos coordinados de las agencias de aplicación de la ley y la depreciación de la
criptomoneda Monero. Sin embargo, como se sabe que los ataques de criptojacking siguen los valores
de las criptomonedas, puede surgir un servicio similar a Coinhive y provocar un nuevo pico. Las primeras
estadísticas para 2020 muestran un aumento del 30% interanual en marzo.

8
_ Monero siguió siendo la criptomoneda de elección

De manera similar a las tendencias anteriores, Monero (XMR) fue la criptomoneda elegida para las actividades de

criptojacking de 2019. La razón es doble; En primer lugar, Monero se centra en la privacidad y el anonimato y, por lo

tanto, las transacciones no se pueden rastrear. En segundo lugar, el algoritmo de prueba de trabajo está diseñado para

hacer viable la minería con una CPU estándar en lugar de hardware especializado. En el tercer trimestre de 2019, el

32% de los intercambios negociaron monedas de privacidad como Monero. Sin embargo, en previsión de las nuevas

regulaciones contra el lavado de dinero, muchos intercambios optaron por eliminar las monedas de privacidad.

_ Países más objetivo

Figura 2: La mayoría de los países objetivo por cryptojacking. Fuente: Trend Micro 7

9
Vectores de ataque

_ Técnicas

Los ciberdelincuentes utilizaron las siguientes técnicas para ejecutar o entregar criptomineros:

• incorporando capacidades de cryptojacking en malware existente; 10

• comprometiendo sitios web; 11

• por ataques persistentes de drive-by; 12

• usando las redes sociales; 13

• usar aplicaciones móviles y tiendas de aplicaciones; 14

• usar kits de explotación; 15

• uso de redes publicitarias y publicidad maliciosa; dieciséis

• utilizando medios extraíbles; 17

• y el uso de criptomineros desparasitables. 18

Navegador-
establecido

minería

$ 30 mil

Basado en archivos

minería

$ 750 mil

Figura 3: ¿Cuánto puede ganar una botnet de minería de monedas en 30 días? Fuente: Broadcom 3

10
_ Acciones propuestas

• Supervise el uso de la batería en los dispositivos de los usuarios y, en el caso de picos sospechosos en el uso de la

CPU, busque la presencia de mineros basados en archivos.

• Implemente el filtrado de contenido para filtrar los archivos adjuntos no deseados, los correos electrónicos con contenido

malicioso y el spam.

• Implemente el filtrado del protocolo de extracción de estratos, así como la inclusión de las direcciones IP y los dominios de

los grupos de minería populares en una lista negra.

• Instale protección de punto final mediante programas antivirus o complementos de navegador

que bloqueen criptomineros.

• Realice auditorías de seguridad periódicas para detectar anomalías en la red. Implemente

• una gestión sólida de vulnerabilidades y parches.

• Utilice listas blancas para evitar que se ejecuten ejecutables desconocidos en los puntos finales.

• Invierta en aumentar la conciencia de los usuarios sobre el crytojacking, especialmente con respecto al comportamiento de

navegación seguro.

• Implemente parches y correcciones contra exploits conocidos, como Eternal Blue, en

objetivos menos obvios, como sistemas de gestión de colas, terminales POS e incluso
máquinas expendedoras.

• Supervise y ponga en lista negra los ejecutables comunes de criptominería.

11
Referencias
1. Sergiu Gatlan. "Los criptomineros siguen siendo la principal amenaza en marzo a pesar de la desaparición de Coinhive". 9 de abril de 2019.
Bleeping Computer. https://www.bleepingcomputer.com/news/security/cryptominers-still-topthreat-in-march-despite-coinhive-demise/

2. "Evaluación de la amenaza del crimen organizado en Internet (IOCTA)". 2019. EUROPOL.

https://www.europol.europa.eu/iocta-report

3. "Beapy: Cryptojacking Worm golpea a las empresas en China". 24 de abril de 2019. BROADCOM.
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/beapy-cryptojacking-
gusano-china

4. Bill Conner. "Informe de amenazas cibernéticas de SONICWALL". 2020. SONICWALL

https://www.sonicwall.com/resources/2020-cyber-threat-report-pdf/

5. Yessi Bello Pérez. "Las víctimas desprevenidas fueron secuestradas 52,7 millones de veces en la primera mitad de
2019 ". 24 de julio de 2019. TheNextWeb - HARD FORK.
https://thenextweb.com/hardfork/2019/07/24/cryptojacking-cryptocurrency-million-hits-first-
semestre de 2019 /

6. Ben Noble. "Un tercio de los intercambios de criptomonedas aún albergan monedas de privacidad a pesar de los temores de la inminente regla de viaje
del GAFI". 27 de noviembre de 2019. CIPHERTRACE
https://ciphertrace.com/ciphertrace-q3-2019-caml-press-release/

7. "Defensa de los sistemas contra el malware CryptocurrencyMiner". 28 de octubre de 2019. Trend Micro.
https://www.trendmicro.com/vinfo/be/security/news/cybercrime-and-digital-threats/defendingsystems-against-cryptocurrency-miner-malware

8. "Estadísticas de Kaspersky Security Bulletin '19". 2009. Kaspersky. https://go.kaspersky.com/rs/802IJN-240/images/KSB_2019_Statistics_EN.pdf

9. "INFORME DE SEGURIDAD CIBERNÉTICA". 2020. Check Point Research cp <r>.

https://www.checkpoint.com/downloads/resources/cyber-security-report-2020.pdf

10. Ionut Ilascu. "EternalBlue Exploit sirve a la campaña Beapy Cryptojacking". 25 de abril de 2019. Bleeping Computer. https://www.bleepingcomputer.com/news

11. "El gusano Newmining PsMiner utiliza múltiples vulnerabilidades de alto riesgo para propagarse". 12 de marzo de 2019. 360 Total
Security. https://blog.360totalsecurity.com/en/new-mining-worm-psminer-usesmultiple-high-risk-vulnerabilities-to-spread/

12. Dan Thorp-Lancaster. "El nuevo esquema de minería de criptomonedas drive-by persiste después de salir de la ventana del navegador".
9 de noviembre de 2017. Windows Central.
https://www.windowscentral.com/new-drive-cryptocurrency-mining-scheme-persists-even-afteryou-exit-your-browser-window

13. Dr. Michaeal McGuire. "Plataformas de redes sociales y economía del ciberdelito". 2019. Bromium. https://www.bromium.com/wp-content/uploads/2019/02/Br

14. Axelle Apvrille. "Abusar de las criptomonedas en los teléfonos inteligentes Android". 2019. Fortinet.
https://fortinetweb.s3.amazonaws.com/fortiguard/research/currency-insomnihack19.pdf

15. "Resumen de seguridad de mitad de año de 2019 El evasivo trata los efectos generalizados". 2019. TrendMicro
https://documents.trendmicro.com/assets/rpt/rpt-evasive-threats-pervasive-effects.pdf

dieciséis. Margi Murphy. "YouTube cierra los anuncios de criptojacking ocultos". 29 de enero de 2018. The Telegraph https://www.telegraph.co.uk/technology/2018

anuncios-de-jacking /

17. Matthew Beedham. "El nuevo malware de minería de criptomonedas se está extendiendo por Tailandia y Estados Unidos". 4 de junio de
2019. TheNextWeb - HARD FORK.
https://thenextweb.com/hardfork/2019/06/04/security-crypto-jacking-mining-malware/

18. Sean Lyngaas. “BlueKeep está de vuelta. Por ahora, los atacantes solo lo están usando para criptominería ". 4 de noviembre de 2019.
CyberScoop. https://www.cyberscoop.com/bluekeep-exploited-cryptomining/

12
19. Janus Agcaoili. "Monero-Mining Malware PCASTLE vuelve a cero en China, ahora utiliza técnicas de llegada sin archivos
de varias capas". 5 de junio de 2019. Trend Micro.
https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-malware-pcastlezeroes-back-in-on-china-now-uses-multilayered-fileless-arrival-techniq

20. Marie Huillet. "Los investigadores dicen que 50.000 servidores en todo el mundo están infectados con malware de criptojacking de monedas de
privacidad". 29 de mayo de 2019. Cointelegraph.
https://cointelegraph.com/news/researchers-say-50-000-servers-worldwide-infected-withprivacy-coin-cryptojacking-malware

21. Johnlery Triunfante, Mark Vicente. "BlackSquid se desliza hacia servidores y unidades con 8 notorias hazañas para
eliminar XMRig Miner". 27 de agosto de 2019. Trend Micro.
https://blog.trendmicro.com/trendlabs-security-intelligence/blacksquid-slithers-into-servers-anddrives-with-8-notorious-exploits-to-drop-xmrig-miner/

22. "Se encontró código de criptojacking malicioso en 11 bibliotecas de Ruby". 2 de agosto de 2019, Descifrar.
https://decrypt.co/8602/malicious-cryptjacking-code-found-in-11-ruby-libraries

23. Brook Chelmo. "Cryptojacking en 2019: valor de la criptomoneda que mantiene el vector de ataque en juego". 6 de agosto de
2019. SonicWall. https://blog.sonicwall.com/en-us/2019/08/cryptojacking-in-2019cryptocurrency-value-keeping-attack-vector-in-play/

24. Catalin Cimpanu. “El servicio de criptojacking Coinhive cerrará en marzo de 2019”. 27 de febrero
2019. ZD Net. https://www.zdnet.com/article/coinhive-cryptojacking-service-to-shut-down-in-
marzo-2019 /

25. Tom Hegel. "Haciendo que llueva - Ataques de minería de criptomonedas en la nube". 14 de marzo de 2019. AT&T Business. https://cybersecurity.att.com/blogs/la

26. "Cómo una botnet de criptominería prominente está allanando el camino para un modelo de ingresos ilícitos y lucrativo". Agosto de
2019. Carbon Black. https://www.carbonblack.com/resources/access-mining/

27. "Ataques de criptojacking: ¿Quién está minando su moneda?". 5 de abril de 2019. Security Intelligence.
https://securityintelligence.com/cryptojacking-attacks-whos-mining-on-your-coin/

28. “El malware crea una botnet Cryptominer usando EternalBlue y Mimikatz '. 12 de abril de 2019. Bleeping
Computer. https://www.bleepingcomputer.com/news/security/malware-createscryptominer-botnet-using-eternalblue-and-mimikatz/

13
Relacionado

Informe de panorama de amenazas de ENISA

El año en revisión

Un resumen de las tendencias en ciberseguridad para el período

comprendido entre enero de 2019 y abril
2020.
LEER EL INFORME

Informe de panorama de amenazas de ENISA

Lista de las 15 principales amenazas

Lista de ENISA de las 15 principales amenazas del período

comprendido entre enero de 2019 y abril
LEER EL INFORME 2020.

Informe de panorama de amenazas de ENISA

Tópicos de investigación

Recomendaciones sobre temas de investigación de varios

cuadrantes en ciberseguridad e inteligencia de
LEER EL INFORME ciberamenazas.

14
 Informe de panorama de amenazas de ENISA

Análisis de amenazas sectoriales y

temáticas

Análisis de amenazas contextualizado entre enero de

2019 y abril de 2020.
LEER EL INFORME

Panorama de amenazas de ENISA

Reporte Tendencias emergentes

Principales tendencias en Ciberseguridad observadas

LEER EL INFORME
entre enero de 2019 y abril de 2020.

Informe de panorama de amenazas de ENISA

Inteligencia de amenazas cibernéticas

visión de conjunto

La situación actual de la inteligencia sobre ciberamenazas

en la UE.
LEER EL INFORME

15
Acerca de

_ La agencia

La Agencia de la Unión Europea para la Ciberseguridad, ENISA, es la agencia de la Unión dedicada a

lograr un alto nivel común de ciberseguridad en toda Europa. Establecida en 2004 y reforzada por la Ley
de Ciberseguridad de la UE, la Agencia de Ciberseguridad de la Unión Europea contribuye a la política
cibernética de la UE, mejora la confiabilidad de los productos, servicios y procesos de TIC con esquemas
de certificación de ciberseguridad, coopera con los Estados miembros y los organismos de la UE y ayuda a
Europa para los desafíos cibernéticos del mañana. Mediante el intercambio de conocimientos, el desarrollo
de capacidades y la sensibilización, la Agencia trabaja junto con sus partes interesadas clave para
fortalecer la confianza en la economía conectada, impulsar la resiliencia de la infraestructura de la Unión y,
en última instancia, mantener la seguridad digital de la sociedad y los ciudadanos europeos. Puede
encontrar más información sobre ENISA y su trabajo en www.enisa.europa.eu .

Colaboradores
Christos Douligeris, Omid Raghimi, Marco Barros Lourenço (ENISA), Louis Marinos (ENISA) y todos los
miembros del Grupo de Partes Interesadas de ENISA CTI:
Andreas Sfakianakis, Christian Doerr, Jart Armin, Marco Riccardi, Mees Wim, Neil Thaker,
Pasquale Stirparo, Paul Samwel, Pierluigi Paganini, Shin Adachi, Stavros Lingris (CERT EU) y
Thomas Hemker.

Editores

Marco Barros Lourenço (ENISA) y Louis Marinos (ENISA).

Contacto

Para consultas sobre este documento, utilice

enisa.threat.information@enisa.europa.eu .
Para consultas de los medios sobre este documento, utilice press@enisa.europa.eu .

¡Nos gustaría recibir sus comentarios sobre este informe!

Tómese un momento para completar el cuestionario. Para acceder al formulario, haga clic
en aquí .

dieciséis
Aviso Legal

Debe tenerse en cuenta que esta publicación representa las opiniones e interpretaciones de
ENISA, a menos que se indique lo contrario. Esta publicación no debe interpretarse como una
acción legal de ENISA o de los organismos de ENISA a menos que se adopte de conformidad con
el Reglamento (UE) n.o 526/2013. Esta publicación no representa necesariamente el estado del
arte y ENISA puede actualizarla de vez en cuando.

Las fuentes de terceros se citan según corresponda. ENISA no es responsable del

contenido de las fuentes externas, incluidos los sitios web externos a los que se hace

referencia en esta publicación.

Esta publicación está destinada únicamente a fines informativos. Debe ser accesible de
forma gratuita. Ni ENISA ni ninguna persona que actúe en su nombre es responsable
del uso que pueda hacerse de la información contenida en esta publicación.

Aviso de copyright
© Agencia de la Unión Europea para la Ciberseguridad (ENISA), 2020 Reproducción
autorizada siempre que se cite la fuente.

Copyright de la imagen de la portada: © Wedia. Para cualquier uso o reproducción de fotos

u otro material que no esté bajo los derechos de autor de ENISA, se debe solicitar el

permiso directamente a los titulares de los derechos de autor.

ISBN: 978-92-9204-354-4
DOI: 10.2824 / 552242

Vasilissis Sofias Str 1, Maroussi 151 24, Attiki, Grecia Tel: +30 28 14 40
9711
info@enisa.europa.eu
www.enisa.europa.eu

17
Todos los derechos reservados. Copyright ENISA 2020.

https://www.enisa.europa.eu