-
Los ciberataques comenzaron en noviembre de 2018.
-
El virus se propaga mediante un bot que aprovecha vulnerabilidades del sistema operativo.
El equipo de investigaciรณn de Operaciones Especiales de Jask, una empresa dedicada a investigaciones de seguridad cibernรฉtica, ย publicรณ un nuevo informe con datos adicionales sobre una ola de ataques que lleva a cabo un equipo de hackers, centrados en realizar actividades de minerรญa oculta de Monero (XMR).
De acuerdo al informe de los investigadores, publicado este 5 de febrero, los anรกlisis de casos han permitido determinar que se trata de una serie de ciberataques oportunistas, probablemente patrocinados por un grupo denominado Outlaw Hacking Group. Estos hackers han desarrollado un botware que infecta los equipos que utilizan el sistema operativo Linux con un virus llamado Shellbot.
El virus se vale de un bot โrobot de software, una aplicaciรณn que realiza tareas automatizadasโ que aprovecha las vulnerabilidades del sistema Linux para diseminarse, a travรฉs del protocolo de comunicaciรณn Internet Relay Chat (IRC). Sin embargo, tambiรฉn puede infectar a una variedad de dispositivos de Internet de las cosas (IoT), incluyendo a entornos de Windows y Android, aunque estos casos son menos frecuentes, segรบn apuntan los investigadores.
De esta forma, el malware usa el robot para buscar sistemas a atacar en Internet. En caso de tener รฉxito ejecuta un script para la minerรญa encubierta de Monero (cryptojacking) configurando el minero de criptomonedas XMR-Stak.
Shellbot fue detectado en noviembre de 2018 y ha venido desarrollando una red de bots que han estado evolucionando. En consecuencia, en diferentes partes del mundo se han identificado unos 200.000 servidores comprometidos, incluidos sistemas IoT, sitios web, servidores virtuales privados (VPS) basados โโen la nube y servidores de Windows.
Al respecto, la empresa de ciberseguridad Trend Micro afirma que una de las primeras variantes del malware es capaz de secuestrar otros programas para la minerรญa de criptomonedas previamente instalados.
Esta variante del minero primero busca otros mineros en ejecuciรณn presentes en los sistemas. Si encuentra un minero ยซextranjeroยป en el sistema de destino, el script destruye los procesos de minerรญa relacionados de los mineros anteriores y comienza a ejecutar sus propios binarios. Esto significa que el bot aquรญ es capaz de secuestrar las actividades mineras de otros bots de botnets no relacionados.
Trend Micro
Agregan que una segunda variante del cรณdigo malicioso, distribuido por el bot, fue diseรฑada para hacer ataques de fuerza bruta. Tambiรฉn utilizan tรฉcnicas de denegaciรณn de servicio (DoS). Con ello, los hackers bloquean el acceso a servidores y aprovechan para monetizar sistemas informรกticos comprometidos, agregando el hosting a la red de bots del grupo Outlaw.
Los investigadores de ambas firmas aรฑaden que esta red de bots sigue creciendo, pues los operadores de Shellbot ย se ubican en diferentes regiones del mundo, principalmente en Brasil y Rumania. Para el equipo de Trend Micro el objetivo de Outlaw es construir una infraestructura que llegue a afectar a muchas compaรฑรญas conocidas.
Auge del malware
La proliferaciรณn de malware de criptominerรญa se ha convertido en una problemรกtica que afecta al ecosistema, tomando en cuenta que a finales del aรฑo pasado una investigaciรณn de McAfee Labs reportรณ un incremento de 4.000% en la proliferaciรณn de este tipo de ataques.
En ese sentido, Monero es una de las criptomonedas mรกs involucradas. Hace unos dรญas un equipo de investigadores cibernรฉticos de Unit 42 de Palo Alto Networksย descubriรณ un nuevo malware capaz de inhabilitar la protecciรณn de la infraestructura en la nube pรบblica que utiliza servidores Linux, para realizar minerรญa oculta de XMR.
Este mismo grupo de trabajo identificรณ otro malware, llamado CookieMiner, que roba las cookies del navegador de los sitios visitados por las vรญctimas, para obtener acceso a sus cuentas de intercambio y carteras a fin robar criptomonedas.
Imagen destacada por: Volodymyr / stock.adobe.com
