Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cripto
jacking
Panorama de amenazas de ENISA
Visión general
Cryptojacking (también conocido como cryptomining) es el uso no autorizado de los recursos de un dispositivo
para extraer criptomonedas. Los objetivos incluyen cualquier dispositivo conectado, como computadoras y
teléfonos móviles; sin embargo, los ciberdelincuentes se han dirigido cada vez más a las infraestructuras en la
nube. 1
Este tipo de ataque no ha atraído mucha atención de las fuerzas del orden y rara vez se denuncia su
abuso. 2 , principalmente debido a sus relativamente pocas consecuencias negativas. No obstante, las
organizaciones pueden notar mayores costos de TI, componentes informáticos degradados, mayor
consumo de electricidad y menor productividad de los empleados debido a estaciones de trabajo
más lentas. 3
3% 13%
Otro
18%
Jsecoin
XMRig
22% RubyMiner
Cryptoloot
21% Coinhive
WannaMine
2% 21%
2
__Recomendaciones
Las actividades crecieron un 9% en el primer semestre de 2019 en comparación con los 6 meses
anteriores de 2018. 4 , 5
3
Matar cadena
Cryptojacking
Ancho de propósito
4
Cryptojacking
Comando y Acciones en
Instalación Controlar Objetivos
La cadena Cyber Kill ® El framework fue desarrollado por Lockheed Martin, adaptado de
un concepto militar relacionado con la estructura de un ataque. Para estudiar un vector
de ataque en particular, use este diagrama de cadena de muerte para mapear cada
paso del proceso y hacer referencia a las herramientas, técnicas y procedimientos
utilizados por el atacante.
MÁS INFORMACIÓN
5
Tendencias
2019. 4 Como resultado de esta disminución, los ciberdelincuentes comenzaron a centrarse en objetivos de mayor
valor, como servidores potentes. 9 e infraestructuras en la nube. 1
El lugar de Coinhive en la parte superior ha sido tomado desde entonces. 9 por Jsecoin (22%), XMRig (21%) y
Cryptoloot (21%). La distribución del principal malware de criptominería a nivel mundial se presenta en la Figura 1 .
Se observó una tendencia creciente en la primera mitad de 2019, con respecto a incidentes de ataques de minería
de criptomonedas en la nube. 15 , 25 Los entornos en la nube suelen emplear mecanismos que adaptan los recursos a
pedido y, por lo tanto, son objetivos lucrativos para ejecutar software de minería. Sin embargo, esto se produce a
expensas de los propietarios de sitios web, quienes a su vez deben pagar facturas más altas por exceder las
2018. 26 Los atacantes han logrado explotar interfaces de programación de aplicaciones (API) y
plataformas de gestión de contenedores para instalar imágenes maliciosas (por ejemplo,
Docker y Kubernetes) y extraer criptomonedas. 25
6
__Incidentes
Se descubrió que más de 50.000 servidores pertenecientes a empresas de los sectores de la salud, las
telecomunicaciones, los medios de comunicación y las tecnologías de la información estaban infectados por
malware que extraía la criptomoneda TurtleCoin (TRTL). 20
Una nueva familia de malware llamada BlackSquid utilizó ocho exploits conocidos,
incluidos EternalBlue y DoublePulsar, y posteriormente se extendió a servidores web en
Tailandia y Estados Unidos para entregar scripts de minería de Monero. 17 , 21
7
Tendencias
En 2019, se notó una disminución en el cryptojacking basado en navegador a favor del cryptomining basado
en archivos. Criptominería basada en archivos 27 los ataques se propagan a través de malware y hacen uso de
exploits preexistentes en sistemas operativos sin parches como EternalBlue y otras vulnerabilidades de alto
riesgo. Los factores que contribuyeron a este cambio fueron el cierre del popular proveedor de minería
basado en la web Coinhive. 1 y la disminución de los valores de las criptomonedas. 10 Otro factor es que la
criptominería basada en archivos siempre ha sido más eficiente que la minería basada en la web, siendo 25
veces más rentable. 3
Los actores de amenazas adaptaron su malware con herramientas adicionales para extraer información
disminuyendo
En 2019, una tendencia a la baja 5 , en criptojacking se notaron ataques, principalmente debido al cierre de
Coinhive 6 , los esfuerzos coordinados de las agencias de aplicación de la ley y la depreciación de la
criptomoneda Monero. Sin embargo, como se sabe que los ataques de criptojacking siguen los valores
de las criptomonedas, puede surgir un servicio similar a Coinhive y provocar un nuevo pico. Las primeras
estadísticas para 2020 muestran un aumento del 30% interanual en marzo.
8
_ Monero siguió siendo la criptomoneda de elección
De manera similar a las tendencias anteriores, Monero (XMR) fue la criptomoneda elegida para las actividades de
criptojacking de 2019. La razón es doble; En primer lugar, Monero se centra en la privacidad y el anonimato y, por lo
tanto, las transacciones no se pueden rastrear. En segundo lugar, el algoritmo de prueba de trabajo está diseñado para
hacer viable la minería con una CPU estándar en lugar de hardware especializado. En el tercer trimestre de 2019, el
32% de los intercambios negociaron monedas de privacidad como Monero. Sin embargo, en previsión de las nuevas
regulaciones contra el lavado de dinero, muchos intercambios optaron por eliminar las monedas de privacidad.
Figura 2: La mayoría de los países objetivo por cryptojacking. Fuente: Trend Micro 7
9
Vectores de ataque
_ Técnicas
Los ciberdelincuentes utilizaron las siguientes técnicas para ejecutar o entregar criptomineros:
Navegador-
establecido
minería
$ 30 mil
Basado en archivos
minería
$ 750 mil
Figura 3: ¿Cuánto puede ganar una botnet de minería de monedas en 30 días? Fuente: Broadcom 3
10
_ Acciones propuestas
• Supervise el uso de la batería en los dispositivos de los usuarios y, en el caso de picos sospechosos en el uso de la
• Implemente el filtrado de contenido para filtrar los archivos adjuntos no deseados, los correos electrónicos con contenido
malicioso y el spam.
• Implemente el filtrado del protocolo de extracción de estratos, así como la inclusión de las direcciones IP y los dominios de
• Utilice listas blancas para evitar que se ejecuten ejecutables desconocidos en los puntos finales.
• Invierta en aumentar la conciencia de los usuarios sobre el crytojacking, especialmente con respecto al comportamiento de
navegación seguro.
11
Referencias
1. Sergiu Gatlan. "Los criptomineros siguen siendo la principal amenaza en marzo a pesar de la desaparición de Coinhive". 9 de abril de 2019.
Bleeping Computer. https://www.bleepingcomputer.com/news/security/cryptominers-still-topthreat-in-march-despite-coinhive-demise/
3. "Beapy: Cryptojacking Worm golpea a las empresas en China". 24 de abril de 2019. BROADCOM.
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/beapy-cryptojacking-
gusano-china
5. Yessi Bello Pérez. "Las víctimas desprevenidas fueron secuestradas 52,7 millones de veces en la primera mitad de
2019 ". 24 de julio de 2019. TheNextWeb - HARD FORK.
https://thenextweb.com/hardfork/2019/07/24/cryptojacking-cryptocurrency-million-hits-first-
semestre de 2019 /
6. Ben Noble. "Un tercio de los intercambios de criptomonedas aún albergan monedas de privacidad a pesar de los temores de la inminente regla de viaje
del GAFI". 27 de noviembre de 2019. CIPHERTRACE
https://ciphertrace.com/ciphertrace-q3-2019-caml-press-release/
7. "Defensa de los sistemas contra el malware CryptocurrencyMiner". 28 de octubre de 2019. Trend Micro.
https://www.trendmicro.com/vinfo/be/security/news/cybercrime-and-digital-threats/defendingsystems-against-cryptocurrency-miner-malware
10. Ionut Ilascu. "EternalBlue Exploit sirve a la campaña Beapy Cryptojacking". 25 de abril de 2019. Bleeping Computer. https://www.bleepingcomputer.com/news
11. "El gusano Newmining PsMiner utiliza múltiples vulnerabilidades de alto riesgo para propagarse". 12 de marzo de 2019. 360 Total
Security. https://blog.360totalsecurity.com/en/new-mining-worm-psminer-usesmultiple-high-risk-vulnerabilities-to-spread/
12. Dan Thorp-Lancaster. "El nuevo esquema de minería de criptomonedas drive-by persiste después de salir de la ventana del navegador".
9 de noviembre de 2017. Windows Central.
https://www.windowscentral.com/new-drive-cryptocurrency-mining-scheme-persists-even-afteryou-exit-your-browser-window
13. Dr. Michaeal McGuire. "Plataformas de redes sociales y economía del ciberdelito". 2019. Bromium. https://www.bromium.com/wp-content/uploads/2019/02/Br
14. Axelle Apvrille. "Abusar de las criptomonedas en los teléfonos inteligentes Android". 2019. Fortinet.
https://fortinetweb.s3.amazonaws.com/fortiguard/research/currency-insomnihack19.pdf
15. "Resumen de seguridad de mitad de año de 2019 El evasivo trata los efectos generalizados". 2019. TrendMicro
https://documents.trendmicro.com/assets/rpt/rpt-evasive-threats-pervasive-effects.pdf
dieciséis. Margi Murphy. "YouTube cierra los anuncios de criptojacking ocultos". 29 de enero de 2018. The Telegraph https://www.telegraph.co.uk/technology/2018
anuncios-de-jacking /
17. Matthew Beedham. "El nuevo malware de minería de criptomonedas se está extendiendo por Tailandia y Estados Unidos". 4 de junio de
2019. TheNextWeb - HARD FORK.
https://thenextweb.com/hardfork/2019/06/04/security-crypto-jacking-mining-malware/
18. Sean Lyngaas. “BlueKeep está de vuelta. Por ahora, los atacantes solo lo están usando para criptominería ". 4 de noviembre de 2019.
CyberScoop. https://www.cyberscoop.com/bluekeep-exploited-cryptomining/
12
19. Janus Agcaoili. "Monero-Mining Malware PCASTLE vuelve a cero en China, ahora utiliza técnicas de llegada sin archivos
de varias capas". 5 de junio de 2019. Trend Micro.
https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-malware-pcastlezeroes-back-in-on-china-now-uses-multilayered-fileless-arrival-techniq
20. Marie Huillet. "Los investigadores dicen que 50.000 servidores en todo el mundo están infectados con malware de criptojacking de monedas de
privacidad". 29 de mayo de 2019. Cointelegraph.
https://cointelegraph.com/news/researchers-say-50-000-servers-worldwide-infected-withprivacy-coin-cryptojacking-malware
21. Johnlery Triunfante, Mark Vicente. "BlackSquid se desliza hacia servidores y unidades con 8 notorias hazañas para
eliminar XMRig Miner". 27 de agosto de 2019. Trend Micro.
https://blog.trendmicro.com/trendlabs-security-intelligence/blacksquid-slithers-into-servers-anddrives-with-8-notorious-exploits-to-drop-xmrig-miner/
22. "Se encontró código de criptojacking malicioso en 11 bibliotecas de Ruby". 2 de agosto de 2019, Descifrar.
https://decrypt.co/8602/malicious-cryptjacking-code-found-in-11-ruby-libraries
23. Brook Chelmo. "Cryptojacking en 2019: valor de la criptomoneda que mantiene el vector de ataque en juego". 6 de agosto de
2019. SonicWall. https://blog.sonicwall.com/en-us/2019/08/cryptojacking-in-2019cryptocurrency-value-keeping-attack-vector-in-play/
24. Catalin Cimpanu. “El servicio de criptojacking Coinhive cerrará en marzo de 2019”. 27 de febrero
2019. ZD Net. https://www.zdnet.com/article/coinhive-cryptojacking-service-to-shut-down-in-
marzo-2019 /
25. Tom Hegel. "Haciendo que llueva - Ataques de minería de criptomonedas en la nube". 14 de marzo de 2019. AT&T Business. https://cybersecurity.att.com/blogs/la
26. "Cómo una botnet de criptominería prominente está allanando el camino para un modelo de ingresos ilícitos y lucrativo". Agosto de
2019. Carbon Black. https://www.carbonblack.com/resources/access-mining/
27. "Ataques de criptojacking: ¿Quién está minando su moneda?". 5 de abril de 2019. Security Intelligence.
https://securityintelligence.com/cryptojacking-attacks-whos-mining-on-your-coin/
28. “El malware crea una botnet Cryptominer usando EternalBlue y Mimikatz '. 12 de abril de 2019. Bleeping
Computer. https://www.bleepingcomputer.com/news/security/malware-createscryptominer-botnet-using-eternalblue-and-mimikatz/
13
Relacionado
El año en revisión
Tópicos de investigación
14
Informe de panorama de amenazas de ENISA
visión de conjunto
15
Acerca de
_ La agencia
Colaboradores
Christos Douligeris, Omid Raghimi, Marco Barros Lourenço (ENISA), Louis Marinos (ENISA) y todos los
miembros del Grupo de Partes Interesadas de ENISA CTI:
Andreas Sfakianakis, Christian Doerr, Jart Armin, Marco Riccardi, Mees Wim, Neil Thaker,
Pasquale Stirparo, Paul Samwel, Pierluigi Paganini, Shin Adachi, Stavros Lingris (CERT EU) y
Thomas Hemker.
Editores
Contacto
enisa.threat.information@enisa.europa.eu .
Para consultas de los medios sobre este documento, utilice press@enisa.europa.eu .
dieciséis
Aviso Legal
Debe tenerse en cuenta que esta publicación representa las opiniones e interpretaciones de
ENISA, a menos que se indique lo contrario. Esta publicación no debe interpretarse como una
acción legal de ENISA o de los organismos de ENISA a menos que se adopte de conformidad con
el Reglamento (UE) n.o 526/2013. Esta publicación no representa necesariamente el estado del
arte y ENISA puede actualizarla de vez en cuando.
contenido de las fuentes externas, incluidos los sitios web externos a los que se hace
Esta publicación está destinada únicamente a fines informativos. Debe ser accesible de
forma gratuita. Ni ENISA ni ninguna persona que actúe en su nombre es responsable
del uso que pueda hacerse de la información contenida en esta publicación.
Aviso de copyright
© Agencia de la Unión Europea para la Ciberseguridad (ENISA), 2020 Reproducción
autorizada siempre que se cite la fuente.
u otro material que no esté bajo los derechos de autor de ENISA, se debe solicitar el
ISBN: 978-92-9204-354-4
DOI: 10.2824 / 552242
Vasilissis Sofias Str 1, Maroussi 151 24, Attiki, Grecia Tel: +30 28 14 40
9711
info@enisa.europa.eu
www.enisa.europa.eu
17
Todos los derechos reservados. Copyright ENISA 2020.
https://www.enisa.europa.eu