Los ciberataques dentro de las empresas se encuentran a la orden del día, vigilando cada movimiento y encontrando los puntos vulnerables en seguridad para lanzar una serie de ataques que provocan grandes daños en la infraestructura TI e incluso en el robo de datos e información confidencial.
Esta vez un nuevo malware ha realizado su gran hazaña, atacando cajeros automáticos dentro del país con el objetivo de dispersar el dinero y probablemente vaciarlos.
La investigación a cargo de la empresa en ciberseguridad Kaspersky detectó la nueva amenaza de malware, la cual ha sido identificada en Colombia y México.
ATMJaDi, como fue nombrado el virus, comienza sus ataques bajo un conjunto especifico de ATMs, posiblemente creados por los propios empleados bancarios que se encargaron de estudiar a detalle la infraestructura informática del banco antes de programarlo.
Se plantea que el desarrollo de tan potente virus haya sido desarrollado por insiders con acceso al código fuente del banco en particular y a la red donde están conectados todos los cajeros automáticos.
A través de un análisis exhaustivo se manifestó que el programa malicioso no puede ser controlado por medio de teclado o pantalla táctil, pero si es capaz de enviar comandos específicos para realizar la dispersión de dinero de los cajeros.
De acuerdo al trabajo de investigación se indica que el malware está escrito en lenguaje Java, totalmente diferente al sistema estándar que se utiliza en los cajeros automáticos (XFS, JXFS o CSC).
Para lograr que la infección lleve a cabo su objetivo el malware en forma de archivo Java es instalado con el nombre INJX_PURE.jar, posteriormente se encarga de buscar y controlar el proceso del ATM, infestándolo de comandos legítimos.
Una vez completada la infección la pantalla muestra la frase “libertad y gloria” en ruso, portugués, español y chino. Muy probablemente este tipo de palabras y frases fueron elegidas para generar confusión y el desvió de atención hacía el origen real de salida del malware.
Dmitry Bestuzhev, director del equipo de investigación y análisis para América Latina en Kaspersky, señala que el mensaje en español y portugués es una alerta para los bancos de la región.
Una prueba más de las vulnerabilidades en ciberseguridad a las que se encuentran expuestas miles de empresas, todos los días.
El mundo digital en el que todos vivimos puede ser un lugar aterrador si no se cuenta con una buena seguridad. Confiamos en las aplicaciones para realizar operaciones bancarias, comprar alimentos, productos, jugar juegos y casi todo lo demás. Actualmente estamos en línea más de lo que estamos desconectados. La ciberseguridad tradicional no es capaz de mantenerse al día con la cantidad de ataques y vulnerabilidades que suceden a diario y más ahora que las empresas están adoptando la nube, el análisis del big data y la automatización para acelerar la entrega de aplicaciones.
La misión de Palo Alto Networks es proteger nuestra forma de vida en la era digital evitando los ciberataques exitosos.
Palo Alto Networks ha construido la fuerza más disruptiva en la industria de la ciberseguridad. Recientemente adquirió e integró Evident.io en su plataforma automatizada porque sabe que es más fácil operar con capacidades que funcionan en conjunto, para que los usuarios puedan prevenir ataques cibernéticos y usar el análisis para automatizar las tareas rutinarias y así poder centrarse en realizar los cambios que realmente importan en sus empresas.
Enfoque de la plataforma operativa de seguridad
Beneficios
Prevención de ataques
Automatiza la identificación y prevención de amenazas a través de nubes, redes, servidores y endpoints con un enfoque basado en datos y avanzado análisis entregado desde la nube.
Bloquea exploits, ransomware, malware y ataques sin archivos para minimizar los endpoints y servidores infectados.
Adopta las mejores prácticas de seguridad utilizando políticas basadas en aplicaciones, usuarios y contenido, con un enfoque de Zero Trust para minimizar las oportunidades de ataque.
Enfocarse en lo que realmente importa
Automatiza los controles de seguridad con políticas que cambian dinámicamente para que coincidan con las aplicaciones, usuarios y contenido.
Acelera las implementaciones de múltiples nubes y simplifica la administración a través de integraciones profundas con servicios nativos en la nube y herramientas de automatización.
Ahorra tiempo al validar continuamente el cumplimiento de las implementaciones en la nube con informes y controles de cumplimiento personalizables.
Integra innovaciones rápidamente
Mejora continuamente la efectividad y la eficacia de la seguridad con nuevas herramientas integradas entregadas por Palo Alto Networks.
Application Framework, permite aprovechar al máximo las inversiones existentes en Palo Alto Networks, incluidos los datos de seguridad unificados, sensores y puntos de aplicación, con aplicaciones de seguridad personalizadas y de terceros.
Conoce por qué Palo Alto Networks es la mejor Plataforma Operativa de Ciberseguridad descargando nuestro brochure.
El día de ayer, los usuarios de la plataforma de videos más grande y visitada del mundo, estuvieron reportando fallas en el servicio de la misma.
De acuerdo con un informe, el problema comenzó alrededor de las 8:19 horas y el servicio se reactivó hasta casi dos horas después.
Youtube agradeció a sus usuarios por medio de su cuenta de Twitter: "Estamos trabajando para resolver esto y les haremos saber una vez sea resuelto. Nos disculpamos por lo que pueda causar y los mantendremos al tanto", escribió.
Estas fueron las zonas más afectadas a nivel mundial:
De acuerdo con el sitio especializado Down Detection, un 44% de los usuarios experimentó problemas a la hora de visualizar videos, un 38 % no pudo abrir la página de la plataforma y un 16 % no logró acceder a sus cuentas. De acuerdo con diversas fuentes, el error afectó, además, la publicación de 24.000 horas de video, teniendo en cuenta que cada minuto se suben 400 horas de contenido a la plataforma provenientes de millones de canales de música, deportes, cine y videjuegos, entre otros.
En relación con la información compartida por Bloomberg sobre el hackeo que empresas americanas como Apple y Amazon sufrieron por atacantes chinos, la semana pasada y después de que algunas de las compañías involucradas negaran dicho ataque, esta semana se compartió nueva información relacionada con el tema.
Continuando con la investigación, Yossi Appleboum, director ejecutivo de Sepio systems en Gaithersburg, Maryland presentó algunos documentos que indican que Super Micro Computer, la encargada de la producción de las tarjetas madre vulneradas, no trabajó en conjunto con el grupo de hackers chinos. Explicó además que se encontraron en el conector Ethernet del servidor, chips espías en una de las computadoras de Super micro.
“El hardware manipulado se encontró en una instalación que tenía un gran número de servidores Super Micro, y los técnicos de la compañía de telecomunicaciones no pudieron responder qué tipo de datos abarcaba el hackeo”, dijo Appleboum, quien los acompañó para una inspección visual de la máquina.
¿Quieres más información sobre el Gran Hackeo? La encuentras aquí.
La semana pasada se publicó en Bloomberg BusinessWeek una investigación en la que se informaba que Apple y otras empresas estadounidenses habían sido víctimas de un hackeo masivo orquestado por el ejército chino. Las empresas involucradas ya están compartiendo su postura respecto a esa información. Esto es lo que dijo Steve Schmidt, Director de Seguridad de la Información de Amazon Web Services.
“La semana pasada, Bloomberg BusinessWeek publicó una historia en la que afirmaba que AWS sabía sobre los chips maliciosos alojados en las placas base SuperMicro del hardware de Elemental Media en el momento en que Amazon adquirió Elemental.
Como compartimos con Bloomberg BusinessWeek varias veces durante los últimos dos meses, esto no es cierto. En ningún momento, pasado o presente, hemos encontrado problemas relacionados con hardware modificado o chips maliciosos en las placas base SuperMicro en los sistemas Elemental o Amazon. Tampoco hemos participado en una investigación con el gobierno.
Hay tantas inexactitudes en este artículo en relación con Amazon que son difíciles de contar. Vamos a nombrar sólo algunas de ellas aquí. Primero, cuando Amazon estaba considerando adquirir Elemental, hicimos una investigación con nuestro propio equipo de seguridad y también encargamos a una sola compañía de seguridad externa que hiciera una evaluación de seguridad para nosotros. Ese informe no identificó ningún problema con los chips o hardware modificados. Como es típico en la mayoría de estas auditorías, ofreció algunas áreas recomendadas para remediar y solucionamos todos los problemas críticos antes de que se cerrara la adquisición. Este fue el único informe de seguridad externo encargado. Bloomberg admite que nunca ha visto nuestro informe de seguridad comisionado ni ningún otro (y se ha negado a compartir con nosotros cualquier detalle de cualquier otro informe).
El artículo también afirma que después de conocer las modificaciones de hardware y los chips maliciosos en los servidores Elemental, llevamos a cabo una auditoría en toda la red de las placas base SuperMicro y descubrimos los chips maliciosos en un centro de datos de Beijing. Esta afirmación es igualmente falsa. La primera y más obvia razón es que nunca encontramos hardware modificado o chips maliciosos en los servidores Elemental. Aparte de eso, nunca encontramos hardware modificado o chips maliciosos en los servidores de ninguno de nuestros centros de datos. Y esta idea de que vendimos el hardware y el centro de datos en China a nuestro socio Sinnet porque queríamos deshacernos de los servidores SuperMicro es absurda. Sinnet había estado ejecutando estos centros de datos desde que lanzamos en China, desde el principio eran propietarios de estos centros de datos y el hardware que "vendimos" era un acuerdo de transferencia de activos exigido por las nuevas regulaciones de China para la Nube no china.”
Steve Schmidt, termina el mensaje asegurando que AWS emplea estrictos estándares de seguridad en todas y cada una de sus cadenas de suministro; investiga todo el hardware y software aún antes de comenzar con la producción y que además realizan auditorías de seguridad periódicas de manera interna.
“La seguridad siempre será nuestra máxima prioridad. AWS cuenta con la confianza de muchas de las organizaciones más sensibles, precisamente porque hemos demostrado este compromiso inquebrantable de poner su seguridad por encima de todo lo demás. Estamos constantemente atentos a las posibles amenazas a nuestros clientes y tomamos medidas rápidas y decisivas para abordarlas cada vez que se identifican.”
Un ataque de espías chinos llegó a casi 30 empresas estadounidenses, entre ellas Amazon y Apple, al comprometer la cadena de suministro de tecnología de Estados Unidos, de acuerdo con información compartida por fuentes gubernamentales y corporativas.
En 2015, Amazon comenzó a evaluar una nueva empresa llamada Elemental Technologies, una posible adquisición para ayudar con una importante expansión de su servicio de transmisión de video, Amazon Prime Video. Con sede en Portland, Elemental hizo un software para comprimir archivos de video masivos y formatearlos para diferentes dispositivos.
Para ayudar con la diligencia debida, AWS, que estaba supervisando la posible adquisición, contrató a una compañía de terceros para que examinara la seguridad de Elemental, según una persona familiarizada con el proceso. En la primera revisión se descubrieron problemas, lo que llevó a AWS a observar más detenidamente el producto principal de Elemental: los servidores que los clientes instalaron en sus redes para manejar la compresión de video, estos servidores fueron ensamblados para Elemental por Super Micro Computer Inc. A fines de la primavera de 2015, el personal de Elemental encajó varios servidores y los envió a Ontario, Canadá, para que la compañía de seguridad de terceros los probara, dice la persona.
Anidados en las placas base de los servidores, los evaluadores encontraron un pequeño microchip, no mucho más grande que un grano de arroz, que no formaba parte del diseño original de las tablas. Amazon informó sobre el descubrimiento a las autoridades de EE. UU., lo que generó un estremecimiento en toda la comunidad de inteligencia; los servidores de Elemental se pueden encontrar en los centros de datos del Departamento de Defensa, las operaciones de aviones no tripulados de la CIA y las redes a bordo de los buques de guerra de la Armada.
Durante la investigación secreta que siguió y que permanece abierta más de tres años después, los investigadores determinaron que los chips permitieron a los atacantes crear una puerta oculta en cualquier red que incluyera las máquinas alteradas. Múltiples personas familiarizadas con el asunto dicen que los investigadores descubrieron que los chips habían sido insertados en fábricas dirigidas por subcontratistas en China.
Este ataque fue algo más grave que los incidentes basados en software que el mundo está acostumbrado a ver. Los trucos de hardware son más difíciles de lograr y potencialmente más devastadores, además, prometen el tipo de acceso sigiloso a largo plazo en el que las agencias de espionaje están dispuestas a invertir millones de dólares.
Hay dos maneras en que los espías pueden alterar las entrañas de los equipos informáticos:
La primera, conocida como interdicción, consiste en manipular dispositivos cuando están en tránsito desde el fabricante hasta el cliente.
La segunda, implica cambios de siembra desde el principio. Un país en particular tiene una ventaja en la ejecución de este tipo de ataque: China, que según algunas estimaciones representa el 75 % de los teléfonos móviles del mundo y el 90 por ciento de sus PC. Sin embargo, lograr un ataque de siembra en realidad significaría desarrollar una comprensión profunda del diseño de un producto, manipular los componentes en la fábrica y asegurar que los dispositivos manipulados hayan llegado a través de la cadena logística global a la ubicación deseada.
Los investigadores de Estados Unidos encontraron que los chips fueron insertados durante el proceso de fabricación – de acuerdo con dos funcionarios - por agentes de una unidad del Ejército Popular de Liberación.
De acuerdo con un funcionario, los investigadores descubrieron que eventualmente afectó a casi 30 compañías, incluyendo un banco importante, contratistas del gobierno y la compañía más valiosa del mundo, Apple Inc. Apple era un cliente importante de Supermicro.
En declaraciones enviadas por correo electrónico, Amazon, Apple y Supermicro disputaron los resúmenes de los informes de Bloomberg Businessweek.
"Es falso que AWS supiera sobre un compromiso de la cadena de suministro, un problema con chips maliciosos o modificaciones de hardware al adquirir Elemental", escribió Amazon.
"En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, manipulaciones de hardware o vulnerabilidades plantadas a propósito en ningún servidor", escribió Apple.
"No tenemos conocimiento de ninguna investigación de este tipo", escribió un portavoz de Supermicro, Perry Hayes. El gobierno chino no abordó directamente las preguntas sobre la manipulación de los servidores de Supermicro, solamente emitió una declaración que decía, en parte, que "la seguridad de la cadena de suministro en el ciberespacio es un tema de preocupación común, y China también es una víctima".
El FBI y la Oficina del Director de Inteligencia Nacional, en representación de la CIA y la NSA, declinaron hacer comentarios.
En total, 17 personas confirmaron la manipulación del hardware de Supermicro y otros elementos de los ataques. Un funcionario del gobierno dice que el objetivo de China es el acceso a largo plazo a secretos corporativos de alto valor y redes gubernamentales sensibles. No se sabe que los datos de los consumidores hayan sido robados.
{{cta('97f6c714-3d5f-4f4b-a8c4-bbb34ce4bf71')}}
Los funcionarios familiarizados con la investigación dicen que la función principal de los implantes como estos es abrir puertas que otros atacantes puedan atravesar. "Los ataques de hardware tienen que ver con el acceso", como lo expresó un ex funcionario de alto rango. En términos simplificados, los implantes en el hardware de Supermicro manipularon las instrucciones de operación principales que le dicen al servidor qué hacer cuando los datos se mueven a través de una placa base, dicen dos personas familiarizadas con la operación de los chips. Esto sucedió en un momento crucial, ya que pequeños bits del sistema operativo se almacenaban en la memoria temporal de la placa en ruta al procesador central del servidor, la CPU. El implante se colocó en la placa de manera que le permitiera editar efectivamente esta cola de información, inyectando su propio código o alterando el orden de las instrucciones que debía seguir la CPU.
Como los implantes eran pequeños, la cantidad de código que contenían también era pequeña. Pero fueron capaces de hacer dos cosas muy importantes: decirle al dispositivo que se comunique con una de varias computadoras anónimas en otro lugar que se cargaron con un código más complejo. Los chips ilícitos podían hacer todo esto porque estaban conectados al controlador de administración de la placa base. Este sistema podía permitir a los atacantes alterar cómo funcionaba el dispositivo, línea por línea, sin que nadie se diera cuenta.
Mientras los agentes monitoreaban las interacciones entre los funcionarios chinos, los fabricantes de placas base y los intermediarios, vislumbraron cómo funcionaba el proceso de siembra. En algunos casos, los gerentes de planta fueron contactados por personas que decían representar a Supermicro o que tenían cargos que sugerían una conexión con el gobierno. Los intermediarios solicitarían cambios en los diseños originales de las placas base, inicialmente ofreciendo sobornos junto con sus solicitudes inusuales. Si eso no funcionaba, amenazaban a los gerentes de fábrica con inspecciones que podrían cerrar sus plantas. Una vez que los arreglos estaban en su lugar, los intermediarios organizarían la entrega de los chips a las fábricas.
Los investigadores concluyeron que este complejo esquema era el trabajo de una unidad del Ejército Popular de Liberación que se especializa en ataques de hardware, según dos personas informadas sobre sus actividades. La existencia de este grupo nunca se ha revelado antes, pero un funcionario dijo: "Hemos estado rastreando a estos individuos durante más tiempo del que nos gustaría admitir". Se cree que la unidad se enfoca en objetivos de alta prioridad, incluidos los comerciales avanzados.
Cómo funcionó el hackeo, según los funcionarios de los Estados Unidos
Una unidad militar china diseñó y fabricó microchips tan pequeños como una punta de lápiz afilada. Algunos de los chips se construyeron para que parecieran acopladores de acondicionamiento de señal, e incorporaron memoria, capacidad de red y suficiente capacidad de procesamiento para un ataque.
Los microchips se insertaron en las fábricas chinas que suministraban a Supermicro, uno de los vendedores más grandes de placas base para servidores.
Las placas madre fueron construidas en servidores ensamblados por Supermicro.
Los servidores saboteados se abrieron paso dentro de los centros de datos operados por docenas de compañías.
Cuando se instaló y encendió un servidor, el microchip modificó el núcleo del sistema operativo para que pudiera aceptar modificaciones. El chip también podría contactar a las computadoras controladas por los atacantes en busca de más instrucciones y código.
Facebook acaba de admitir mediante un comunicado que un grupo de hackers desconocido explotó una vulnerabilidad de día cero en su plataforma, lo que le permitió robar el token (son el equivalente a las claves digitales que mantienen a las personas conectadas a Facebook, por lo que no necesitan volver a ingresar su contraseña cada vez que usan la aplicación) de acceso a más de 50 millones de cuentas.
En el mismo comunicado, Facebook explicó que su equipo de seguridad descubrió el ataque tres días antes y que todavía están investigando el incidente.
La vulnerabilidad usada para realizar el ataque (ahora parchada por el equipo de Facebook) se encontró en la función “Ver como”, que permite a los usuarios descubrir cómo se ve su perfil por quienes lo visitan. De acuerdo con Facebook, esta vulnerabilidad permitió a los hackers robar los tokens de seguridad para posteriormente usarlos para acceder directamente a la información privada de los usuarios sin necesidad de una contraseña o validación de un código de seguridad.
Para evitar las cuentas de sus usuarios, Facebook ya ha restablecido tokens de acceso para casi 50 millones de cuentas de Facebook afectadas y 40 millones de cuentas adicionales, como medida de precaución.
"Nos tomamos esto muy en serio y queremos que todos sepan lo que sucedió y la acción inmediata que hemos tomado para proteger la seguridad de las personas", dijo Facebook.
"Como resultado, alrededor de 90 millones de personas tendrán que volver a iniciar sesión en Facebook, o cualquiera de sus aplicaciones que usen el inicio de sesión de Facebook. Después de que hayan vuelto a iniciar sesión, las personas recibirán una notificación en la parte superior de sus noticias explicando qué sucedió."
Como medida extra de seguridad, la función "Ver como" ha sido desactivada temporalmente.
Todas las personas y empresas que se encuentran conectadas a la red, están en peligro de sufrir un ataque cibernético y los aeropuertos no son la excepción, esto lo pudimos comprobar en marzo de este año cuando el Aeropuerto Internacional Hartsfield-Jackson de Atlanta, cerró su red interna de Wi-Fi como medida de seguridad, pues la red gubernamental de Atlanta había sufrido un ataque de ransomware.
Este este mes tocó el turno al aeropuerto de Bristol en Reino Unido: las pantallas de información de los vuelos estuvieron apagadas, ya que de acuerdo con los especialistas de hacking ético, los sistemas informáticos que las ejecutan sufrieron una infección de ransomware.
De acuerdo con las redes sociales oficiales del aeropuerto, la infección entró en los sistemas el viernes por la mañana y su funcionalidad se restauró el domingo por la mañana, por lo que el domingo por la noche todos los sistemas del aeropuerto habían vuelto a la normalidad.
Los funcionarios del aeropuerto se negaron a pagar el rescate y recurrieron al restablecimiento manual de todos los sistemas afectados para solucionar al problema. Tras el incidente el aeropuerto publicó el siguiente mensaje:
“Agradecemos a los pasajeros su paciencia mientras trabajamos para resolver los inconvenientes suscitados este fin de semana. Las pantallas digitales trabajan normalmente ahora. Continuaremos trabajando para solucionar cualquier otro hecho derivado del ataque a nuestros sistemas”
Un ataque informático se puede describir como una actividad hostil contra un sistema, un instrumento, una aplicación o un elemento que tenga un componente informático.
Un ataque informático tiene un objetivo, ¿Pero cómo llegan al objetivo? Creando estrategias casi invisibles para cualquier empresa o usuario, los atacantes son conscientes de ello, por lo que era de esperarse que desarrollaran una metodología con una serie de fases o pasos a seguir para que el ataque sea exitoso.
A continuación te presentamos las 5 fases o etapas de un ataque informático: ¡TOMA NOTA!
1. Reconocimiento:
Como su nombre lo indica, esta fase consiste en la recopilación de información del entorno, con el fin de buscar un objetivo potencial, el cual puede ir desde la búsqueda en Internet sobre una persona o empresa por ejemplo (Ingeniería Social), hasta el poder hacer un sniffing en la red objetivo para comprender cómo está estructurada la red, los rangos de direccionamiento de red que manejan, Hostname, servidores y otros servicios disponibles (Impresoras, conmutadores, etc.)
2. Escaneo e investigación:
Una vez teniendo claro el objetivo, el atacante procede a escanear y a examinar toda la información recopilada, con el fin de encontrar huecos de seguridad en los equipos objetivos, ya que puede obtener detalles como el sistema operativo que usa el equipo, los puertos de comunicación abiertos, cuentas de usuarios y vulnerabilidades en los aplicativos de los equipos.
3. Acceso:
Aquí es donde empieza la magia, porque el atacante empieza a explotar cada vulnerabilidad encontrada en los sistemas, con el fin de tener el acceso a dicho equipo o de empezar a causar estragos, ya sea causando una saturación en los recursos de los equipos de cómputo y por ende generando un ataque DoS (Denial of Service), Secuestro de sesión (Hijacking), ataques de fuerza bruta para poder adivinar o romper las credenciales de acceso al sistema, una vez teniendo acceso al sistema objetivo, el atacante puede prácticamente explorar todo.
{{cta('84f90223-9086-4b97-9ee6-243b7971c809')}}
4. Manteniendo el acceso:
La prioridad en esta etapa es la de mantener abierta la puerta para poder entrar y salir cuando guste, permitiéndole utilizar el equipo comprometido para seguir explorando otros sistemas en la red o para lanzar nuevos ataques desde la misma red interna. En muchas ocasiones se utilizan rootkits para poder ocultar los procesos, sesiones y las conexiones que mantiene hacia el servidor maestro.
5. No dejar rastro:
En esta última fase, el atacante buscará el borrar toda la evidencia que pueda ser utilizada para rastrear su actividad, con el fin de no ser detectado por los administradores de red al instalar software o en las modificaciones que haya ejecutado, de esta manera puede seguir entrando y saliendo del sistema comprometido sin mayor problema y evitar ser atrapado.
La mayoría de las veces hacen uso de una técnica llamada Esteganografía, para que de este modo no pueda ser percibida su existencia en la red, ocultando información sobre algún otro elemento.
Como podemos ver, es de vital importancia conocer este tipo de fases de ataque, ya que con esto podemos darnos una idea del tipo de soluciones que debemos implementar como parte de nuestra estrategia de ciberseguridad, buscando siempre tener esa visibilidad de lo que acontece en nuestra red interna y en las comunicaciones que se hacen hacia el exterior.
Desde la primera aparición de la criptomoneda bitcoin en 2009, el auge de utilización de criptomonedas y su incremento de precios en el mercado han impulsado a los hackers a desarrollar diversos métodos para llevar a cabo la minería de estas monedas, utilizando no solo equipos dedicados para este fin, sino que tambien buscando usar equipos de otros usuarios sin su consentimiento por medio de engaños y/o malware especializado para establecer minas y usando el poder computacional de sus víctimas.
¿Cómo se alojan estas minas?
Existen diversas formas en que los equipos de cómputo pueden ser víctimas, un método es el Malware; ya sea al recibir algún correo electrónico, la descarga de algún archivo desde internet, aplicaciones modificadas, portables ejecutables, etc. Una vez teniendo el malware activo en nuestra computadora, el atacante puede tomar control del dispositivo e inyectar el código necesario para empezar a minar las criptomonedas, elevando de manera drástica el uso de CPU, esto sin que el usuario se percate de lo sucedido.
El atacante tranquilamente puede programar diferentes horarios en que se estaría haciendo labor de minería.
Otra técnica que está siendo muy utilizada por los atacantes, es por medio de sitios web engañosos o ya comprometidos, por lo que cada vez que el usuario visita determinados sitios web se realiza la ejecución de código remoto por medio de scripts, y logrando afectar el procesamiento del equipo del visitante y empezando a minar sin que el usuario se percate.
Esto afecta de manera considerable a las empresas, debido a los altos consumos energéticos al llevar a los procesadores al límite, y más si es costumbre dejar encendidos los equipos de cómputo en la organización.
Esto puede impactar en el uso del equipo de cómputo del usuario, debido a que provoca una severa lentitud en los sistemas lo que los vuelve prácticamente inutilizables.
¿Cómo podemos protegernos?
Podemos utilizar diversas herramientas para el monitoreo de recursos de nuestros equipos de cómputo y servidores, ya que con esto podemos descubrir si estamos siendo víctimas de minería.
Es altamente recomendable contar con soluciones de protección de Endpoint de nueva generación las cuales nos apoyen a monitorear el comportamiento del acceso a recursos de nuestro equipo así como la instalación de algún software o aplicación que pueda dar entrada a malware de minería.
Según los informes de Kaspersky Labs, , el software de minería ha aumentado un 3 a 4%.
Sin duda, el Cryptojacking y la minería han llegado para quedarse, por lo que es indispensable estar preparados para evitar ser víctimas de este tipo de amenaza y formar parte de las estadísticas de usuarios afectados.
