A fines del año pasado, la compañía de ciberseguridad Kaspersky descubrió un nuevo programa malicioso llamado “NKAbuse”, un tipo de amenaza que ataca a la blockchain, el registro público de transacciones en las que funcionan las criptomonedas. Este malware permite darles a los atacantes acceso no autorizado a información ajena y, entre otras cosas, puede derivar en el robo de activos.
Se trata de una amenaza avanzada que opera sobre NKN, un protocolo de conectividad de la blockchain, y fue detectada durante la respuesta a un incidente reciente del Equipo de Investigación y Análisis Global de Kaspersky (GReAT). Utiliza la comunicación entre pares para otorgándoles a los criminales el control del equipo infectado.
Durante la respuesta a un incidente reciente, los expertos de Kaspersky descubrieron un nuevo malware que explota la tecnología NKN, un protocolo de red peer-to-peer (orientado a blockchain), conocido por su descentralización y privacidad. El malware fue detectado en Vietnam primero, pero luego en Colombia y México, razón por la cual ya está circulando en América Latina y podría verse en Argentina.
Acá, de qué se trata este ataque, cómo abusa de la blockchain y qué precauciones tener para evitar caer en las garras de los atacantes.
Qué es el protocolo NKN y cómo ataca NKAbuse
La filosofía con la que fue creada la blockchain, por su naturaleza, tienden a impulsar una mayor inclusión financieraNKN significa New Kind of Network, o Nuevo Tipo de Red. Se trata de “un protocolo de conectividad peer-to-peer descentralizado, de código abierto y anónimo. Aspira a ser el protocolo equivalente a TCP/IP pero en blockchain, actuando como una capa independiente de cualquier protocolo de comunicación subyacente”, explica a Clarín Alfonso Martel Seward, Head of Compliance de la billetera virtual argentina Lemon.
Es decir, lo que hace este protocolo es conectar diferentes dispositivos a través de Internet, usando la blockchain, que es una especie de libro contable digital que registra todas las transacciones y operaciones que se realizan en la red, donde lo que se busca es “incentivar el uso compartido de los recursos de la red al tokenizar la conectividad de la red y la capacidad de transmisión de datos para motivar a los usuarios de internet a compartir sus conexiones y ancho de banda no utilizado”, agrega el especialista cripto.
El problema, advierten desde Kaspersky, es que también se puede abusar de este protocolo, más allá de la seguridad que plantea. «El uso del protocolo NKN por parte del implante subraya su avanzada estrategia de comunicación, permitiendo operaciones descentralizadas y anónimas, además de aprovechar las características de blockchain de NKN para una comunicación eficiente y sigilosa entre los nodos infectados y los servidores C2. Este enfoque complica los esfuerzos de detección y mitigación», afirma Lisandro Ubiedo, investigador de seguridad del Equipo Global de Análisis e Investigación de la compañía de origen ruso.
“NKAbuse es un implante híbrido que sirve como puerta trasera/RAT y flooder, lo que lo convierte en una doble y versátil amenaza que proporciona a los atacantes acceso no autorizado a los sistemas de las víctimas y permite ejecutar comandos de forma encubierta, robar datos y monitorear actividades”, explicaron desde Kaspersky.
Un flooder («inundador» en inglés) es como su palabra indica, “una herramienta que se utiliza para mandar muchísimos mensajes en un cierto canal y así poder causar, por ejemplo, un ataque de Denegación de Servicio Distribuido (DDoS)”, aclara Martel Seward.
“Esto puede congestionar la red, haciendo que se encolen las transacciones y que aparte suban los fees si se le quiere dar prioridad. A su vez, si esto le pega a un smart contract que necesita la información de un oráculo, si la búsqueda de esa data no es continua, puede hacer que salgan transacciones con precios más bajos y esto puede tener algún impacto con un ataque de flash loan también [ver acá]”, agrega.
“Esta capacidad es especialmente valiosa para el espionaje y la filtración de datos. Al mismo tiempo, como flooder, es capaz de lanzar ataques DDoS destructivos, abrumando e interrumpiendo servidores o redes específicas, impactando significativamente en las operaciones de las organizaciones”, complementan desde Kaspersky.
Qué hace este malware y cómo puede robar activos
Control remoto del equipo. /ShutterstockSegún la investigación, una vez que se instala este malware en el equipo de la víctima, el atacante puede sacar capturas de pantallas, administrar archivos, recuperar información del sistema y de la red, así como la ejecución de comandos del sistema.
“Todos los datos recopilados se envían a su botmaster (el atacante que controla el malware) a través de la red NKN, utilizando la comunicación descentralizada para lograr un ataque sigiloso y eficiente”, explican.
En cuanto a cómo entra a un equipo, “el proceso de infiltración de NKAbuse comienza explotando una antigua vulnerabilidad de ejecución de código remoto [esto es, acceso “a la distancia” de un atacante a otro equipo], permitiendo a los atacantes obtener el control de los sistemas afectados. Una vez que lo tienen, el malware descarga un implante en el host de la víctima, que se coloca inicialmente en el directorio temporal para su ejecución”.
El malware está escrito en el lenguaje Go en parte porque esto permite compatibilidad multiplataforma, “lo que facilita a NKAbuse dirigirse a varios sistemas operativos y arquitecturas, incluidos los Linux de escritorio y los dispositivos IoT”.
“Este lenguaje de programación mejora el rendimiento del implante, particularmente en aplicaciones en red, garantizando un procesamiento eficiente y concurrente. Además, la capacidad de Go para producir binarios autónomos simplifica la implementación y mejora la robustez, haciendo de NKAbuse una herramienta formidable en el ámbito de las amenazas de ciberseguridad”, aseguran desde la empresa de ciberseguridad.
Cómo evitar estos ataques
«Hacé tu propia investigación», máxima cripto. Foto AFPSi bien hay diversas cuestiones de seguridad a tener en cuenta a la hora de operar en la blockchain, un punto de partida es entender que no existe la seguridad absoluta, sino relativa a cada escenario.
En este sentido, en el mundo cripto y de la blockchain hay una máxima: “Do Your Own Research” (DYOR), o “hacé tu propia investigación”. Esto se refiere “no solo se refiere a la investigación de inversiones, sino también a la comprensión y aplicación de prácticas de seguridad sólidas. Así como el ethos de blockchain tiende a realzar la libertad de la persona, también es responsabilidad de ella cuidarse”, explican desde Lemon.
Acá, compartieron con Clarín algunos consejos para tener en cuenta a la hora de operar en la blockchain, una tecnología que es famosa por ser “muy segura” pero que, a fin de cuentas, puede tener como eslabón más débil al usuario y sus descuidos.
1. Educación continua: El primer paso en la seguridad de la blockchain es educarse constantemente. Entender cómo funcionan las criptomonedas y la tecnología blockchain te permite identificar posibles riesgos.
2. Uso de wallets seguras y/o plataformas seguras: Elegí wallets seguras. Hay dos tipos principales: frías (offline) y calientes (online). Las wallets frías ofrecen una mayor seguridad para el almacenamiento a largo plazo pero requieren también ciertos cuidados en cuanto a seguridad por mano del usuario, mientras que las calientes son útiles para transaccionar diariamente y la seguridad depende de los mecanismos de la empresa. A su vez, investigar en qué exchange vas a operar, quienes son sus fundadores, cual es el objetivo del proyecto, que han hecho en materia de seguridad, si fueron hackeados, etc.
3. Autenticación de Dos Factores (2FA): Tener siempre activa la autenticación de dos factores en tus cuentas. Esto añade una capa adicional de seguridad, asegurando que solo vos podes acceder a tus fondos.
4. Contraseñas fuertes y únicas: Usa contraseñas fuertes y únicas para cada plataforma. Evita reutilizar contraseñas y considera el uso de un administrador de contraseñas.
5. Cuidado con las estafas y phishing: Sé consciente de las estafas y los intentos de phishing. No creas en oportunidades de rendimientos siderales; si algo suena muy bueno para ser verdad, probablemente no lo sea.
6. Backups seguros: Realiza copias de seguridad para tus claves privadas y otra información importante. Nunca almacenes claves privadas en tu computadora o en línea sin encriptación adecuada.
7. Verificación de transacciones: Verifica y volvé a verificar las direcciones de envío y recepción durante las transacciones. Un pequeño error puede resultar en la pérdida de fondos. También está muy de moda un ciberataque en el cual, al copiar una dirección pública, se te copia otra diferente; toma la costumbre de al menos comparar los primeros y últimos 4 digitos de la wallet que te enviaron antes de finalizar el envío.
8. Inversión consciente: Invertir conscientemente.Es importante que se entiendan los los riesgos asociados con cualquier plataforma o activo en el que inviertas. Recordar mirar quienes son los fundadores, el porqué del proyecto, cómo funciona, el contrato y su funcionalidad.
Desde Kaspersky, por otro lado, suman “actualizar con regularidad los sistemas operativos, aplicaciones y software antivirus de todos los dispositivos que se utilicen para corregir cualquier vulnerabilidad conocida”.
Algo que, el usuario promedio, no hace: en general las actualizaciones son pateadas para un “más adelante” que, en la práctica, puede implicar semanas de estar desprotegido.
SL