Hechos clave:
-
Los piratas cibernéticos lanzaron 20 versiones distintas de su malware en tres meses.
-
Los atacantes fueron neutralizados luego de que desactivaran sus servidores en mayo.
Entre finales del mes de febrero e inicios de mayo, un grupo de hackers de origen chino comprometió más de 50.000 servidores a nivel mundial con métodos de cryptojacking. El ataque fue detectado por la firma de seguridad Guardicore, quienes catalogaron el evento como “La campaña Nansh0u”.
El malware involucrado en estos ataques permitió a los piratas cibernéticos minar una criptomoneda llamada Turtlecoin o moneda tortuga, señaló el reporte de Guardicore. Turtlecoin está enfocada en la privacidad y fue lanzada en el año 2017 por un grupo de desarrolladores anónimos.
Los atacantes rastrearon e infectaron servidores Windows MS-SQL y PHPMyAdmin. El reporte destaca que la mayoría de las plataformas afectadas pertenecen a compañías de salud, medios de comunicación y de tecnología de la información.
La Red Sensor Global de Guardicore (GGSN) detectó los ataques en el mes de abril, luego de que tres servidores se vieran infectados de manera análoga. Los hackers descargaban en las plataformas un malware que traía consigo un minero y una herramienta rootkit, un software que permitía acceso a las computadoras sin revelar su presencia. Estos dos mecanismos, en conjunto con otros archivos, permitían a los piratas minar el criptoactivo sin que el virus pudiese ser desactivado.
«No es un ataque común»
Las características del ataque llamaron la atención de los investigadores de Guardicore, quienes decidieron rastrear si existían otros servidores comprometidos bajo el mismo patrón. Las pesquisas arrojaron que un grupo de hackers estaba infectando servidores desde el 26 de febrero.
Los autores del reporte indican que registraron hasta 700 víctimas afectadas a diario. La cantidad de ataques también aumentó mes a mes y se presume que los hackers actualizaron el malware un total de 20 veces.
Los hackers utilizaron cinco servidores distintos para realizar el ataque y un total de seis servidores para conectarse con otras plataformas. Escanearon puertos, explotaron vulnerabilidades de escalamiento de privilegios e incluso utilizaron certificados falsos para adquirir un rootkit.
Los investigadores de Guardicore concluyeron que la campaña “no se trata de un ataque común”. No obstante, tampoco descartan que hackers primerizos hayan tenido acceso a herramientas sofisticadas para llevar a cabo el su propósito, ya que también encontraron lenguaje de programación básico en el malware.
No más tortugas ninja
Los técnicos de Guardicore se comunicaron el pasado mes de mayo con las autoridades que emitieron el rootkit involucrado en este suceso. Los datos del certificado falso sirvieron a la empresa Verisign para revocar el uso de esta herramienta a los atacantes. Asimismo, los cinco servidores utilizados por los hackers fueron des-habilitados por el proveedor, luego de que Guardicore denunciara la situación.
Los expertos en seguridad recomiendan tener credenciales sólidas en sus servidores. Es decir, poseer un solo nombre de usuario y contraseña para autentificar procesos en sus plataformas. De igual manera, la actualización de antivirus también puede ayudar a evitar este tipo de situaciones.
Las campañas de cryptojacking, término utilizado para referirse al “secuestro” de un portal o computador para minar criptomonedas, son cada vez más sofisticadas y complejas. Este tipo de prácticas se incrementa con el pasar de los años, convirtiéndose en uno de los métodos predilectos de los hackers. Sin embargo, cada vez son más los expertos en seguridad que brindan consejos e información para asegurar los servidores de un posible ataque de minería encubierta.
Según estadísticas de CoinMarketCap, el valor de cada TLCR es de 0,00012 centavos de dólar. Asimismo, los registros de MininPoolStats, revelan que la blockchain alcanza un nivel de procesamiento de 339 MH/s para el momento en que se realiza esta nota.
Estos datos revelan que los hackers pudieron no haber generado grandes ganancias en los tres meses que estuvieron realizando minería encubierta. La mayor parte de las campañas de cryptojacking han estado enfocadas en la blockchain de Monero, cuyo criptoactivo se cotiza en 93 dólares por unidad. No obstante, Guardicore apuntó que no menos de cuatro pools de minería de Turtlecoin pudieron estar involucrados en este suceso.
