Hechos clave:
- Los ciberataques comenzaron en noviembre de 2018.
- El virus se propaga mediante un bot que aprovecha vulnerabilidades del sistema operativo.
El equipo de investigación de Operaciones Especiales de Jask, una empresa dedicada a investigaciones de seguridad cibernética, publicó un nuevo informe con datos adicionales sobre una ola de ataques que lleva a cabo un equipo de hackers, centrados en realizar actividades de minería oculta de Monero (XMR).
De acuerdo al informe de los investigadores, publicado este 5 de febrero, los análisis de casos han permitido determinar que se trata de una serie de ciberataques oportunistas, probablemente patrocinados por un grupo denominado Outlaw Hacking Group. Estos hackers han desarrollado un botware que infecta los equipos que utilizan el sistema operativo Linux con un virus llamado Shellbot.
El virus se vale de un bot —robot de software, una aplicación que realiza tareas automatizadas— que aprovecha las vulnerabilidades del sistema Linux para diseminarse, a través del protocolo de comunicación Internet Relay Chat (IRC). Sin embargo, también puede infectar a una variedad de dispositivos de Internet de las cosas (IoT), incluyendo a entornos de Windows y Android, aunque estos casos son menos frecuentes, según apuntan los investigadores.
De esta forma, el malware usa el robot para buscar sistemas a atacar en Internet. En caso de tener éxito ejecuta un script para la minería encubierta de Monero (cryptojacking) configurando el minero de criptomonedas XMR-Stak.
Shellbot fue detectado en noviembre de 2018 y ha venido desarrollando una red de bots que han estado evolucionando. En consecuencia, en diferentes partes del mundo se han identificado unos 200.000 servidores comprometidos, incluidos sistemas IoT, sitios web, servidores virtuales privados (VPS) basados en la nube y servidores de Windows.
Al respecto, la empresa de ciberseguridad Trend Micro afirma que una de las primeras variantes del malware es capaz de secuestrar otros programas para la minería de criptomonedas previamente instalados.
Esta variante del minero primero busca otros mineros en ejecución presentes en los sistemas. Si encuentra un minero «extranjero» en el sistema de destino, el script destruye los procesos de minería relacionados de los mineros anteriores y comienza a ejecutar sus propios binarios. Esto significa que el bot aquí es capaz de secuestrar las actividades mineras de otros bots de botnets no relacionados.
Trend Micro
Agregan que una segunda variante del código malicioso, distribuido por el bot, fue diseñada para hacer ataques de fuerza bruta. También utilizan técnicas de denegación de servicio (DoS). Con ello, los hackers bloquean el acceso a servidores y aprovechan para monetizar sistemas informáticos comprometidos, agregando el hosting a la red de bots del grupo Outlaw.
Los investigadores de ambas firmas añaden que esta red de bots sigue creciendo, pues los operadores de Shellbot se ubican en diferentes regiones del mundo, principalmente en Brasil y Rumania. Para el equipo de Trend Micro el objetivo de Outlaw es construir una infraestructura que llegue a afectar a muchas compañías conocidas.
Auge del malware
La proliferación de malware de criptominería se ha convertido en una problemática que afecta al ecosistema, tomando en cuenta que a finales del año pasado una investigación de McAfee Labs reportó un incremento de 4.000% en la proliferación de este tipo de ataques.
En ese sentido, Monero es una de las criptomonedas más involucradas. Hace unos días un equipo de investigadores cibernéticos de Unit 42 de Palo Alto Networks descubrió un nuevo malware capaz de inhabilitar la protección de la infraestructura en la nube pública que utiliza servidores Linux, para realizar minería oculta de XMR.
Este mismo grupo de trabajo identificó otro malware, llamado CookieMiner, que roba las cookies del navegador de los sitios visitados por las víctimas, para obtener acceso a sus cuentas de intercambio y carteras a fin robar criptomonedas.
Imagen destacada por: Volodymyr / stock.adobe.com
