Se ha descubierto un ecosistema de criptominería criminal multimillonario

Sra. Tecnología; Foto: Pixabay





Las criptomonedas se han convertido en imanes para actividades ilícitas como el robo y el fraude. Pero uno de los delitos menos denunciados es el uso de poder de procesamiento robado para minar monedas como Bitcoin y Monero. El producto de este robo se puede cambiar por moneda real, obteniendo grandes recompensas para los actores malintencionados.

¿Qué tan extensas son estas redes de minería ilícita y cuánto dinero ganan?

Hoy recibimos una respuesta gracias al trabajo de Sergio Pastrana en la Universidad Carlos III de Madrid en España y Guillermo Suárez-Tangil en el King's College de Londres. Estos muchachos han analizado estas redes en detalle por primera vez y dicen que generan ganancias mucho más ricas de lo que nadie había imaginado.



Pastrana y Suarez-Tangil estiman que este tipo de delitos ha generado más de $50 millones. Y pasan a desvelar cómo los ciberdelincuentes llevan a cabo sus delitos. Hasta donde sabemos, este documento presenta el estudio sistemático más grande de criptominería maliciosa basada en binario, dicen.

Básicamente, hay dos formas de robar potencia de procesamiento. El primero es configurar una página web que incorpore un script que secuestra la CPU de la computadora. Los visitantes desprevenidos del sitio de repente encuentran su CPU sobrecargada y sus ventiladores a todo volumen.

Por supuesto, la artimaña se puede detener cerrando la página responsable. Expertos en ciberseguridad han analizado este tipo de actividad contando las páginas web que contienen este tipo de malware y estimando cuántas veces son visitadas y durante cuánto tiempo.



El segundo método es mucho más difícil de investigar. Consiste en malware de criptominería, a menudo oculto en código legítimo, que los usuarios instalan y ejecutan en sus computadoras sin sospecharlo.

Este malware está diseñado para ser difícil de detectar. Algunos programas maliciosos se apagan cada vez que el usuario abre el administrador de tareas, por lo que es difícil ver la evidencia de su actividad. Otros tipos solo se encienden cuando la CPU está inactiva, asumiendo que el usuario debe estar lejos del dispositivo.

Pastrana y Suarez-Tangil centran su estudio en este segundo tipo de malware de criptominería, también conocido como malware basado en binario. Y su análisis es revelador.



Primero, algunos antecedentes. La minería de criptomonedas es el proceso que encripta un registro de transacciones para que no se pueda cambiar o manipular más adelante. Este cifrado debe ser lo suficientemente fuerte como para hacer que el registro sea casi imposible de rediseñar.

Eso requiere un poder de procesamiento significativo, que es un recurso valioso. Entonces, los mineros son recompensados ​​por sus esfuerzos con pequeñas cantidades de criptomonedas. Es por eso que el proceso se llama minería: porque crea nueva moneda.

El proceso de minería es tan intensivo que los mineros a menudo se juntan en grupos. De esta manera, combinan su poder de procesamiento y luego reparten las recompensas, que se pagan en billeteras de criptomonedas.



El malware de criptominería hace todo esto utilizando el poder de procesamiento de su computadora host. Por lo general, funciona descargando un software de minería de código abierto que realiza el cifrado, iniciando sesión en un grupo de minería y luego transfiriendo las recompensas a una billetera.

Pero es precisamente este proceso el que ha permitido a Pastrana y Suarez-Tangil analizar la actividad de estos mineros maliciosos. El código malicioso contiene detalles de los grupos a los que se conecta y las billeteras en las que se pagan los fondos.

Los investigadores simplemente extraen esta información a gran escala. Recolectaron 1 millón de ejemplos de malware de criptominería que operó entre 2007 y 2018. Luego analizaron el código involucrado y ejecutaron el malware en un entorno protegido de sandbox para ver qué hacía.

Eso reveló los grupos involucrados con mayor frecuencia en la criptominería ilícita. También reveló las billeteras, lo que permitió a los investigadores ver cuántas criptomonedas había recibido cada una. Luego analizamos los pagos disponibles públicamente enviados a las billeteras desde los pools de minería como recompensa por la minería, y estimamos las ganancias de las diferentes campañas, dicen.

Los resultados de este análisis constituyen una lectura interesante. Los investigadores encuentran que Monero es, con mucho, la criptomoneda más popular para los delincuentes y que la escala de su actividad es asombrosa. Pastrana y Suarez-Tangi dicen que más del 4,3% de todas las criptomonedas Monero en circulación es el resultado de actividades delictivas.

Y es un negocio rentable. Los tipos de cambio de las criptomonedas han variado enormemente a lo largo del tiempo. Como no hay forma de saber cuándo los delincuentes convirtieron sus ganancias, Pastrana y Suarez-Tangi han tenido que estimarlas. Pero incluso con estimaciones conservadoras, las ganancias son cuantiosas.

Nuestro análisis de ganancias revela campañas con ganancias multimillonarias, dicen. De hecho, la cantidad total extraída de esta manera es de alrededor de $ 56 millones en los últimos 10 años. Y la mayor parte de esto parece haber sido ganado por un número relativamente pequeño de actores. Una de las principales razones del éxito de este negocio criminal es su costo relativamente bajo y su alto retorno de la inversión, dicen los investigadores.

Detener esta actividad ilícita tampoco es fácil. Durante su investigación, Pastrana y Suarez-Tangi informaron billeteras ilícitas a los grupos mineros más grandes con la esperanza de que fueran prohibidos. Pero se encontraron con dos problemas. Primero, algunos grupos no cooperativos se negaron a prohibir las billeteras vinculadas al malware de criptominería. En segundo lugar, algunas campañas exitosas de criptominería ilícita utilizaron varios grupos al mismo tiempo, lo que los hizo más resistentes a las operaciones de eliminación.

Sin embargo, una contramedida parece funcionar bien. De vez en cuando, las autoridades de criptomonedas realizan cambios en los algoritmos utilizados para extraer la moneda. Cuando esto sucede, el software de minería debe actualizarse.

Eso no es un problema para los mineros legítimos. Pero los mineros ilícitos tienen que encontrar una manera de actualizar el malware que han distribuido por la web. Esa no es una tarea tan fácil.

Monero cambió dos veces sus algoritmos en 2018. En cada cambio, cerca del 73% y el 90% de las campañas cesaron sus operaciones, dicen Pastrana y Suarez-Tangil.

Ese es un trabajo interesante que levanta la tapa de una actividad delictiva enormemente rentable pero en gran parte no denunciada. También sugiere una forma efectiva de tomar medidas enérgicas actualizando regularmente los algoritmos de minería. Será interesante ver cómo reacciona la comunidad de criptomonedas.

Ref: arxiv.org/abs/1901.00846 : Una primera mirada al ecosistema de malware de criptominería: una década de riqueza sin restricciones

esconder