Dispositivos con Android sufren ataques de botnets de minería cripto

Esto puede permitir que el actor malicioso lance ataques distribuidos de denegación de servicio (DDoS), registre las sesiones activas de un usuario y robe datos personales del dispositivo infectado, distribuya spam y acceda a otros sistemas en la red del objetivo, para que pueda propagarse más, agregando más máquinas a la red de bots para que el hacker las controle desde un servidor de comando y control. Por esta razón, una botnet también se conoce como un “ejército de zombies”. Jindrich Karasek, investigador de amenazas cibernéticas de la empresa de ciberseguridad Trend Micro, había estado monitoreando una actividad de malware centrada en la minería de criptomonedas durante todo el mes de agosto, después de lo cual compartió sus hallazgos con BeInCrypto. Después de configurar un entorno Honeypot, que permitió a Karasek simular los dispositivos conectados a Android, un hacker desconocido realizó varios intentos de irrumpir y presumiblemente instalar una botnet ilícita de minería cripto. Según el investigador, algunos ciberdelincuentes parecen haber cambiado su enfoque de irrumpir en los sistemas informáticos a obtener acceso a dispositivos basados ​​en Android como teléfonos, tablets y televisores inteligentes. Esto no es ninguna sorpresa, ya que la vida personal de las personas se limita a sus dispositivos inteligentes. La razón detrás de ese movimiento podría ser que los dispositivos queden desprotegidos en gran medida porque a menudo las protecciones antivirus permanecen ausentes, lo que los deja vulnerables. Debido a esto, el malware puede atacar los dispositivos buscando puertos abiertos de Android Debug Bridge (ADB) y tiene capacidades de propagación aprovechando Secure Socket Shell (SSH), que es un protocolo de red criptográfico para proporcionar un inicio de sesión remoto seguro, incluso en redes sin protección. Esto es posible porque los puertos ADB abiertos no requieren claves de autenticación de forma predeterminada, que es similar a las capacidades de difusión de la botnet Satori, también conocida como “Masuta”, una variante de la botnet Mirai, que fue noticia el año pasado y en junio de este año, cuando varios operadores de botnets fueron arrestados por infectar cientos de miles de enrutadores inalámbricos vulnerables y otros dispositivos conectados a Internet de las cosas (IoT).

Un malware de criptojacking en movimiento

El malware de criptojacking ha estado en escena durante años. Encuentra una manera de penetrar en los dispositivos de red de las personas, se oculta en el sistema y luego comienza a robar recursos y, por supuesto, recopila criptomonedas por medios ilícitos. Durante los primeros seis meses de 2019, los ciberdelincuentes supuestamente realizaron 52,7 millones de ataques de criptojacking. Karasek expuso sobre una botnet de minería de criptomonedas en particular, explicando que intenta penetrar en varias arquitecturas de chips móviles y de IoT, como arquitecturas ARM, x86, m68k, mips, msp, ppc y sh4. Según el investigador, la dirección IP del actor malicioso estaba escaneando Internet en busca de puertos ADB abiertos desde dispositivos Android con conexión a Internet. Al igual que con todos los mineros, emplea una técnica de evasión que disminuye la potencia computacional del dispositivo Android, reconfigurando los recursos del sistema para funcionar de manera más eficiente y ayudar a asegurar su propia existencia al permanecer lo más discreto posible. Explicó cómo el bot podría infectar de manera efectiva a los usuarios de Android, aclarando que la seguridad de los dispositivos Android generalmente no está configurada de tal manera que pueda permitir que un actor de amenazas salte de un dispositivo a otro a través de la red. Sin embargo, el método de difusión ideal sería un punto de acceso inalámbrico público. Karasek continuó:

“Imagínese un aeropuerto, una gran sala de conferencias o un centro comercial. Es posible que tengan muchas pantallas, televisores [y otros dispositivos] basados ​​en Android conectados a través de la red para una mejor administración. O dispositivos Android más antiguos, conectados imprudentemente a la red sin ninguna protección. Ese es el caso”.

A medida que la narrativa profundiza, Karasek notó que el código fuente de la botnet fue escrito de manera muy simple e incluso genérica, lo que significa que no tiene características únicas que a menudo aparecen por escritores de código que desarrollan una especie de estilo único propio, de la misma manera que la literatura escrita por autores famosos resuena con cierta personalidad que es única para su estilo de escritura individual. Karasek dijo:

“Parte de su lógica se ha visto con el grupo Outlaw, pero de hecho también podrían compartir el código para que lo utilicen los script kiddies. Ataques como este tienen altos niveles de confianza en la actividad del ciberdelincuente, en lugar de la actividad relacionada con APT. En su mayoría, buscaban Monero, Litecoin y Bitcoin “.

La actividad de la botnet no es específica de un país, según Karasek. “Mi estimación respaldada por la experiencia es que la ganancia no supera los miles de dólares. Una minería como esta ya no es muy efectiva. Sin embargo, lo suficiente para apoyar a un pequeño grupo de operadores, pero no lo suficiente para generar ganancias para una gran organización ”, concluyó. Monero (XMR) apareció en los titulares a principios de este año, en parte gracias al inicio de una nueva botnet de criptojacking denominada “Prometei” por los investigadores que trabajan en Cisco Talos. En 2018, una botnet de minería cripto conocida como Smoninru se difuminó en medio millón de dispositivos informáticos, que tomaron el control de estos y los obligaron a extraer cerca de 9.000 monedas Monero. Los propietarios de los dispositivos no sabían que sus dispositivos se habían visto comprometidos. A partir de 2019, Monero era la criptomoneda preferida entre los ciberdelincuentes en las economías clandestinas, según un estudio publicado por investigadores académicos en España y Reino Unido. En ese momento, más del 4% de todo el XMR en circulación fue extraído por botnets y operaciones ciberdelincuentes, con 57 millones de dólares en XMR cobrados por delincuentes.

Las supercomputadoras también son un objetivo atractivo

Los teléfonos inteligentes, tablets, televisores inteligentes y computadoras personales no son los únicos dispositivos que los actores maliciosos están buscando para llevar sus programas de criptojacking. Después de todo, si la velocidad es esencial en la minería de criptomonedas, las computadoras con más poder son un objetivo obvio de elección. Hoy en día, no debería sorprendernos que los hackers estén apuntando a supercomputadoras, que proporcionan los cálculos más rápidos del mundo. En el sentido convencional, las supercomputadoras se utilizan normalmente para realizar cálculos científicos miles de veces más rápido que las PC tradicionales. Por lo tanto, las supercomputadoras son, obviamente, un objetivo ideal en la mente de un minero ilícito de criptomonedas, que busca beneficiarse de su potencia informática extrema. Por ejemplo, la velocidad de rendimiento de una supercomputadora generalmente se mide en operaciones de coma flotante por segundo, llamadas “FLOPS”, en lugar de un millón de instrucciones por segundo. Para poner esto en perspectiva, tomemos, por ejemplo, la supercomputadora más rápida del mundo, conocida como The Titan, la supercomputadora Cray Titan en el Laboratorio Nacional Oak Ridge con sede en Tennessee, que puede realizar 27.000 billones de cálculos por segundo; eso es un máximo teórico en cuanto a velocidad de 27 petaflops. Como se informó, las víctimas en los Estados Unidos, Canadá, China, partes de Europa, el Reino Unido, Alemania y España parecen haber sido los objetivos de una reciente serie de ataques de botnet de minería de criptomonedas contra laboratorios de computación de alto rendimiento. Los expertos en seguridad que examinaron las intrusiones dijeron que todos estos incidentes parecen haber involucrado a los actores de amenazas que utilizan credenciales SSH robadas tomadas de usuarios autorizados, que pueden incluir investigadores de universidades y sus colegas. Los investigadores realizaron pruebas en sus sistemas para determinar si podían detectar el malware comparando un código benigno conocido con un script de minería de Bitcoin malicioso. A su vez, pudieron determinar que sus sistemas podían identificar el código malicioso sin demora, lo que resultó más confiable que usar pruebas convencionales. Las intrusiones en las supercomputadoras obligaron a cerrarlas para que se pudieran investigar los ataques. Desconectar las supercomputadoras permite a los investigadores forenses aislar el código malicioso, lo que impide que el hacker pueda enviar comandos a las computadoras infectadas o borrar la evidencia de la intrusión. Cuando los hechos quedan al descubierto, es comprensible suponer que los usuarios y los que responden a incidentes están perdiendo la batalla contra estos malos actores. Sin embargo, nada podría estar más lejos de la verdad. Los respondedores de amenazas cibernéticas están contraatacando con sus propias armas. Por ejemplo, el mes pasado, los científicos informáticos del Laboratorio Nacional de Los Alamos pudieron diseñar un nuevo sistema de inteligencia artificial (IA) de última generación que tiene la capacidad de identificar posiblemente malware destinado a penetrar supercomputadoras para extraer criptomonedas. Gopinath Chennupati, investigador del Laboratorio Nacional de Los Alamos, dijo:

“Basado en los recientes robos de computadoras en Europa y en otros lugares, este tipo de control de software pronto será crucial para evitar que los mineros de criptomonedas pirateen las instalaciones informáticas de alto rendimiento y roben recursos informáticos valiosos. Nuestro modelo de inteligencia artificial de aprendizaje profundo está diseñado para detectar el uso abusivo de supercomputadoras específicamente con el propósito de la minería de criptomonedas “.

Encontrando nuevas formas de atacar y proteger

Las opiniones están divididas en cuanto a la seguridad de los dispositivos basados ​​en Android. Miles de millones de personas usan teléfonos inteligentes o tabletas con Android, con muchos modelos de teléfonos más antiguos que no se pueden actualizar con el último firmware o con los últimos parches y actualizaciones de seguridad, y eso no tiene en cuenta el volumen de usuarios de Android que, de preferencia, retrasan las actualizaciones obligatorias exponiendo sus dispositivos a posibles ataques. Entre fotos personales, mensajes, contraseñas guardadas y wallets electrónicas, que se han convertido en elementos esenciales que permiten a los usuarios interactuar social y económicamente, cuando un actor malicioso desconocido irrumpe y obtiene acceso a este tipo de “plano digital”, que define nuestro espacio personal, se siente como la máxima violación. Agregue el robo de los salarios ganados con esfuerzo de un individuo  y los efectos son catastróficos a nivel personal. Por otro lado, incluso si los hackers están proliferando y descubriendo nuevas formas de aprovecharse de los usuarios y sus dispositivos inteligentes o supercomputadoras universitarias, los investigadores de seguridad están ahí, desarrollando e implementando nuevas innovaciones para ayudar tanto a los usuarios como a la industria a ganar la ventaja en esta batalla cerrada entre los ciberdelincuentes y el mundo interconectado en el que vivimos.