Una hoja conoce el otoño, y el viento de otoño es tan fresco. Pasamos un verano encriptado "un poco frío". En estos meses, ha habido nuevos ataques de ransomware de piratas informáticos casi todas las semanas. Ya sea Colonial Pipeline, JBS, Massachusetts Steamship, Fujifilms u otras organizaciones en las noticias, el ciberdelito parece estar más preocupado que nunca.

Un informe reciente muestra que el delito cibernético causa pérdidas globales de más de 1 billón de dólares y se estima que la economía mundial perderá 10,5 billones de dólares para 2025.

Con respecto a los casos de rescate de piratas informáticos de este año, Colonial Pipeline, el mayor operador de oleoductos de los Estados Unidos, pagó 4,4 millones de dólares a piratas informáticos que comprometieron servidores y sitios web, y a otros grupos de ciberdelincuentes que vendían datos en la web oscura, porque los ataques de los piratas informáticos llevaron a la costa este. de los Estados Unidos El precio del combustible se ha disparado.

Todos estos incidentes y ataques tienen una fuerte similitud: los piratas informáticos quieren criptomonedas.

¿Cómo pueden beneficiarse los piratas informáticos?

Los piratas informáticos tienen muchas formas de beneficiarse de las víctimas. Se destacan varios métodos:

1. Ransomware

Cifrar el sistema informático de la víctima, incluidos sus datos y archivos personales, generará una sensación de urgencia y confusión en la víctima para exigir un rescate. Cuando los piratas informáticos piden un rescate, generalmente le piden a la víctima que pague en un corto período de tiempo y amenazan con revelar los datos.

El ransomware es rápido y lucrativo, con beneficios potenciales que van desde miles de dólares a millones de dólares. Si la víctima es atacada por ransomware, esto se mostrará claramente en la pantalla de su computadora y sabrá que ha sido atacada. Esto elimina el peligro oculto del "sigilo" de los piratas informáticos.

2. Vender o hacer un mal uso de los datos robados

Si los piratas informáticos tienen acceso a la base de datos atacada y pueden monitorear las comunicaciones de red o la información confidencial, pueden usarla. Los piratas informáticos pueden vender el acceso a otros piratas informáticos en la web oscura o utilizar la información bancaria encontrada, los datos de la tarjeta de crédito o las credenciales para robar depósitos en la cuenta. Con todo, pueden causar mucho daño.

Aunque este método está más oculto que el ransomware, todavía existe el riesgo de que la policía lo bloquee. Además, si los piratas informáticos deciden vender esta información, es posible que no encuentren un comprador. Al final, este método tiene demasiados resultados variables y los piratas informáticos pueden elegir diferentes estrategias.

3. Troyano minero oculto: "cajero automático del pirata informático"

Después de que el pirata informático irrumpe en la computadora de la víctima, puede hacer lo que quiera. Por lo general, los piratas informáticos instalan "puertas traseras" para garantizar que tengan acceso persistente y puedan mantener el control de la computadora durante mucho tiempo. Esta forma de obtener derechos de acceso persistentes toma la forma de un pequeño y discreto "stub", que puede estar oculto en un segmento de código que la computadora ejecuta automáticamente.

Aunque el control continuo de la computadora de la víctima no genera dinero por sí solo, su computadora se ha convertido en el futuro "cajero automático" para estos piratas informáticos.

La computadora controlada se verá "obligada" a calcular el valor hash para extraer Bitcoin, Ethereum, Monero o cualquier otra criptomoneda que desee. Esto provocará que la CPU, RAM y otros recursos de la computadora controlada se consuman en gran cantidad, aumentando la factura eléctrica de la víctima. Debido a que permanece oculto, el programa de minería se ejecutará automáticamente cada vez que la víctima encienda la computadora.

Entre los tres métodos de ganancias comunes anteriores para los piratas informáticos, la extracción de criptomonedas lentamente generará la menor cantidad de dinero en un corto período de tiempo. Pero si este ataque pasa desapercibido, a largo plazo, puede traer grandes recompensas, especialmente si se dirige a múltiples víctimas al mismo tiempo. Este tipo de ataque es el más insidioso, realizado de forma lenta y no invasiva. A diferencia del ransomware (la víctima sabrá que está bajo amenaza), si se está ejecutando un programa de minería de criptomonedas, es posible que la víctima no se dé cuenta en absoluto.

Criptomoneda: el "vehículo de escape" perfecto para los piratas informáticos

La criptomoneda es el "vehículo de escape" perfecto para los piratas informáticos, que se beneficia de la autonomía, el anonimato, la permanencia y la apertura de la propia criptomoneda / blockchain. El uso de criptomonedas no será supervisado por bancos y gobiernos; no hay tarifas de manejo bancario, tarifas de mantenimiento de cuenta, restricciones de saldo mínimo o tarifas por sobregiro.

Si el pirata informático solo acepta pagos con criptomonedas, el pirata informático puede permanecer anónimo todo el tiempo. Las transacciones de criptomonedas no mostrarán información de identidad, direcciones de correo electrónico, nombres ni información detallada.

Para los piratas informáticos, la característica más atractiva de las criptomonedas puede ser su permanencia: una vez que se envía el dinero, no se puede recuperar y es poco probable que se produzcan reversiones de transacciones en la cadena de bloques. Esto significa que para ataques como el ransomware, los piratas informáticos pueden escapar con dinero.

Los amigos que entienden blockchain o criptomonedas pueden tener una pregunta en este momento: una nota importante de las criptomonedas es que las transacciones se almacenan y muestran en un libro mayor distribuido. Cualquiera puede verificar dónde están pasando los fondos en el navegador blockchain, "Si la transacción es pública, ¿cómo puede el malo permanecer en el anonimato?"

Tenga en cuenta que la dirección de la billetera y la transferencia en sí no contienen información de identificación personal. Lo más importante es que los piratas informáticos a menudo pueden "lavar" criptomonedas enviando fondos a través de un "mezclador" o transfiriendo criptomonedas a través de múltiples billeteras. De hecho, existen algunos protocolos descentralizados que pueden hacer esto por usted, por ejemplo, tornado.cash puede "lavar" Ethereum (ETH). Las remesas a través de varias carteras reducen el contacto con la dirección de la cartera original, lo que puede aumentar considerablemente el grado de privacidad.

Aparte de las ricas innovaciones que algunas criptomonedas han aportado a la cadena de bloques, y solo teniendo en cuenta los problemas relacionados con los piratas informáticos, las criptomonedas como Bitcoin y Ethereum siguen siendo "monedas de los piratas informáticos". Sin una agencia reguladora, el mercado de las criptomonedas puede seguir operando sin regulación y, al mismo tiempo, seguirá proporcionando a los piratas informáticos "vehículos de escape", porque no existe otra tecnología que pueda ayudar a los piratas informáticos a "perfeccionar el crimen".

¿Cómo intercepta el FBI la clave privada y recupera la pérdida por chantaje?

Aunque las transacciones de Bitcoin son anónimas, los fondos se pueden rastrear a través de registros de blockchain para comprender la situación real de estas transacciones y su paradero. A continuación lo llevaremos a restaurar el ataque de chantaje ocurrido este verano contra Colonial Pipeline, el mayor operador de oleoductos de Estados Unidos.

Colonial Pipeline fue atacado por ransomware a principios de este año. Al final, la empresa pagó 4,4 millones de dólares en Bitcoin para restaurar sus sistemas y datos. Dado que se trataba de un ataque a gran escala, la Oficina Federal de Investigaciones (FBI) también intervino y, finalmente, "aseguró" la dirección de la billetera del pirata informático.

A principios de junio, el FBI recuperó millones de dólares pagados a piratas informáticos y los devolvió a Colonial Pipeline. En lo que respecta al resultado del caso, este es un gran logro y un gran paso adelante en la lucha por la seguridad de la red. Posteriormente, el FBI publicó un informe sobre el seguimiento del flujo de fondos bitcoin.


Aunque las direcciones de la billetera de criptomonedas del caso en el informe están ocultas, debido a que siguen las características identificables de la cadena de bloques, podemos encontrarlas fácilmente en los registros de la cadena de bloques.

Después de confirmar la dirección completa de la billetera, podemos encontrar la billetera en la cadena de bloques y verificar el contenido y la hora de la transmisión.

Tenga en cuenta que la cantidad de bitcoins en la dirección en la captura de pantalla y la segunda mitad de la dirección de la billetera son consistentes con el informe del FBI. El precio de Bitcoin fluctúa, por lo que el valor que se muestra en la captura de pantalla será diferente al de hoy.

Seguimiento del flujo de fondos

Al verificar los pasos 28-33 descritos en el informe del FBI, podemos rastrear alrededor de cinco direcciones de billetera diferentes, que son el paradero del bitcoin.


Solo hay cinco transferencias desde la dirección de billetera original del hacker, y parece que estos hackers no usaron un "mezclador". Ellos simplemente ... transfirieron el dinero ... nada más.

La transacción resultante envió 63 bitcoins a la dirección de la billetera incautada por el FBI. Sin embargo, el monto del pago de extorsión de 63 BTC y 75 BTC es inconsistente ¿Cuál es la razón?

¿Qué pasa con otros bitcoins?

Cabe señalar que independientemente del tipo de cambio Bitcoin / dólar estadounidense actual, 63 BTC ≠ 75 BTC. Solo podemos especular que algunos de los fondos iniciales pueden haber sido entregados a empresas o socios afiliados a los piratas informáticos, porque es bien sabido que DarkSide (el grupo de ransomware detrás del ataque Colonial Pipeline) está cooperando con otros. Quizás la dirección de la billetera a la que se envían estos fondos no sea una dirección que el FBI pueda controlar y no se pueda recuperar.

Afortunadamente, sin embargo, considerando las fluctuaciones de precios de Bitcoin y los fondos disponibles en la billetera "incautada", de los $ 4.4 millones iniciales pagados a los piratas informáticos, se recuperaron $ 2.3 millones.

¿Cómo obtuvo el FBI acceso a la billetera?

Desafortunadamente, esto también nos desconcierta. Independientemente del motivo o el método, el FBI finalmente ha descubierto la clave privada correspondiente a la dirección de la billetera, pero el método para obtenerla no se ha revelado públicamente. Por supuesto, el pirata informático puede haber cometido algunos errores, u otras filtraciones, o incluso algunas intrusiones activas por parte del FBI ... Pero esto sigue siendo un misterio.

¿Qué tan popular es la adopción de criptomonedas entre los piratas informáticos?

En el "mercado negro clandestino", muchos delincuentes solo usan criptomonedas para comprar y vender malware o servicios de piratería.

En la mayoría de los casos, estos servicios o productos mostrarán un código QR de criptomoneda, que permite a los compradores realizar pagos fácilmente. Si el comprador no puede escanear el código QR, la página web mostrará la dirección de la billetera de criptomonedas del vendedor y el comprador puede transferir dinero en la billetera por sí mismo.

Esto es común en todo el mercado de malware y foros de piratas informáticos, y esto es solo comprar algunas herramientas y marcos con criptomonedas.

El "nuevo favorito" de los piratas informáticos de cifrado: el secuestro del portapapeles

Lo que más nos hace pensar en ello es la pequeña forma de ataque de un pirata informático: cambiar la dirección de la billetera copiada y pegada por el usuario. Los piratas informáticos pueden bloquear el portapapeles de la computadora y modificar la dirección de la billetera cuando la víctima está a punto de enviar dinero. Al inyectar malware en la computadora del usuario, se puede realizar un simple cambio para reemplazar la dirección de la billetera del destinatario con la dirección de la billetera del propio pirata informático durante la transferencia. Cuando la moneda encriptada se envía a la dirección del pirata informático, debido a las características de la cadena de bloques, el la víctima no puede recuperarlo.

Threat Post, una empresa de seguridad de redes, interceptó recientemente un troyano de control remoto oculto en un archivo común de ejecución automática, que se llamaba sospechosamente "AdobeColorCR_ExtraSettings_1_0-mul.zip".

Después de "pelar" el caparazón del archivo, los técnicos finalmente obtuvieron el código central del archivo malicioso y descubrieron una función clara de troyano de acceso remoto (RAT), la misma que la del troyano tradicional (con envío y recepción de datos y ejecución de comandos). ).

Aquí viene la parte más interesante de este archivo malicioso, los técnicos descubrieron funciones especiales llamadas "funcCret" y "sendClib". Este es el "ataque del portapapeles" mencionado anteriormente. La función de "funcCret" incluye la dirección de la billetera de criptomonedas y automáticamente verificará los datos del portapapeles de la computadora de la víctima para ver si hay alguna dirección de billetera. Si la dirección de la billetera se encuentra en el portapapeles (por ejemplo, el usuario "copia" una dirección para comprar el mismo artículo), la función "sendClib" reemplazará la dirección de la billetera maliciosa del pirata informático con el contenido del portapapeles. La dirección de la billetera maliciosa del pirata informático se muestra en la siguiente figura:


Primero podemos suponer que "bch" en el código encerrado en un círculo en la imagen se refiere a Bitcoin Cash (BCH) y "etho" se refiere a Ethereum (ETH), pero ¿qué es "Mizu"?

Al buscar la dirección "Mizu" en el navegador de la cadena de bloques de Bitcoin, los técnicos descubrieron que hay tantos Bitcoins transferidos a esta dirección que el valor total de Bitcoin de la dirección de la billetera supera los 2 millones de dólares estadounidenses.

Los piratas informáticos que utilizan esta técnica de "secuestro del portapapeles" han obtenido más de 2 millones de dólares en beneficios.

Threat Post informó a esta base de datos de abusos de Bitcoin a esta base de datos de abuso de Bitcoin y a la dirección de billetera maliciosa utilizada en el ataque.

Tenemos que prestar atención

Independientemente de si los fondos se pueden rastrear a través de la cadena de bloques pública, el hecho es que los piratas informáticos están interesados ​​en usar criptomonedas en malware para beneficiarse de activos legítimos del mundo real (Bitcoins).

Aunque hemos visto ransomware desenfrenado, información y datos subastados en la web oscura, y troyanos de minería remota que utilizan en secreto nuestros recursos informáticos para extraer monedas cifradas, esta técnica de secuestro del portapapeles también merece nuestra atención. Si no miramos detenidamente las esquinas del sistema de archivos de Windows y no revisamos los programas o aplicaciones que pueden ejecutarse automáticamente, es posible que seamos los próximos en resultar dañados.