Aunque el mercado de la criptomoneda está experimentando muchas variaciones, el fenómeno del año pasado con aumentos en el valor de Bitcoin ha cambiado considerablemente no solo la economía global, sino también el mundo de la ciberseguridad. Con el objetivo de obtener criptomonedas, los delincuentes han comenzado a utilizar un software malicioso de extracción (minería), que, como el ransomware, tiene un modelo simple de monetización. Pero, a diferencia del ransomware, no daña destructivamente a los usuarios y puede permanecer sin ser detectado durante mucho tiempo al usar silenciosamente la potencia de la PC.

En septiembre de 2017, registró un aumento de programas mineros (buscadores de criptomonedas) que comenzaron a propagarse activamente por todo el mundo y predijo su mayor desarrollo. Las investigaciones más recientes revelan que este crecimiento no solo ha continuado, sino que también se ha incrementado y ampliado.

En este contexto, los investigadores de Kaspersky Lab identificaron recientemente un grupo de ciberdelincuentes que cuentan con técnicas APT (ataques persistentes avanzados, por sus siglas en inglés) en su arsenal de herramientas para infectar a los usuarios con programas mineros. Han utilizado el método de vaciado de procesos que generalmente se usa en malware y se ha visto en algunos ataques dirigidos de agentes de APT, pero nunca antes se había observado en ataques de minería.

El ataque funciona de la siguiente manera: la víctima se ve tentada a bajar e instalar un software de publicidad que tiene el instalador del programa extractor de datos escondido en su interior. Este instalador elimina un utensilio legítimo de Windows con el objetivo principal de bajar el software minero desde un servidor remoto. Después de su ejecución, se inicia un proceso legítimo del sistema y el código genuino de este proceso se convierte en código malicioso.

Como resultado, el programa minero funciona bajo la apariencia de una tarea segura, por lo que será imposible que un usuario reconozca si hay una infección para extracción de datos. También es un desafío para las soluciones de seguridad detectar esta amenaza, ya que los programas mineros marcan este nuevo proceso por la forma en que restringe la cancelación de cualquier tarea. Si el usuario intenta detener el proceso, el sistema de la computadora se reiniciará. Como resultado, los delincuentes protegen su presencia en el sistema durante un tiempo más prolongado y productivo.

Según las observaciones de Kaspersky Lab, los actores que están detrás de estos ataques extrajeron monedas de Electroneum y obtuvieron casi US$7 millones durante la segunda mitad de 2017, cantidad comparable con las sumas que los creadores de ransomware solían obtener.

“Vemos que el ransomware se está desvaneciendo y en su lugar está dando paso a los programas mineros. Esto lo confirman nuestras estadísticas, que muestran un crecimiento constante de programas mineros durante todo el año, así como el hecho de que los grupos de ciberdelincuentes están desarrollando activamente sus métodos y ya han comenzado a utilizar técnicas más avanzadas para difundir el software de minería. Ya hemos visto una evolución de este tipo, pues los piratas informáticos que se valían del ransomware usaban los mismos trucos cuando estaban en pleno auge”, dijo Anton Ivanov, analista principal de malware en Kaspersky Lab.