Hechos clave:
-
El malware desinstala cinco diferentes productos de protección de TencentCloud y Alibaba Cloud.
-
El principal objetivo es la minería oculta de Monero en los dispositivos infectados.
Un equipo de investigadores cibernéticos de Unit 42 de Palo Alto Networks descubrió un nuevo malware capaz de inhabilitar la protección de la infraestructura en la nube pública que utiliza servidores Linux, para realizar minería oculta de monero (XMR). La información se difundió este jueves 17 de enero a través de la página web oficial de Unit 42.
De acuerdo con el reporte, firmado por los especialistas Xingyu Jin y Claud Xiao, el software malicioso se vincula al actor de amenazas cibernéticas, presuntamente de China, conocido como grupo Rocke. Los investigadores se basaron en la evaluación de muestras de malware recolectadas en el octubre de 2018.
El análisis reveló que el malware ahora puede “desinstalar cinco diferentes productos de monitoreo y protección de seguridad en la nube”, para minar criptomonedas sin ser detectado. Los productos mencionados en el informe fueron desarrollados por Tencent Cloud y Alibaba Cloud, dos compañías establecidas en China con importante alcance en el negocio de almacenamiento en la nube.
El malware ataca obteniendo primero los privilegios completos de administrador de los host y luego procede a seguir los pasos de desinstalación de los programas de seguridad, proporcionados por las propias compañías de almacenamiento en la nube en sus manuales de usuario. “Según lo que sabemos, esta es la primera familia de malware que desarrolló la capacidad única de apuntar y eliminar productos de seguridad en la nube”, sostienen Xingyu Jin y Claud Xiao en su informe.
Los dispositivos víctimas de este malware son los servidores Linux, blanco usual del grupo Rocke. Los creadores del sistema malicioso aprovechan vulnerabilidades en Apache Struts 2, Oracle WebLogic y Adobe ColdFusion, para descargar un script llamado “a.7”. Este software elimina otros procesos de criptominería que se estén ejecutando previamente en el dispositivo y bloquea el acceso a nuevos malware de cryptojacking. Además, se vale del minero UPX para ejecutar la minería oculta de monero (XMR) .
El malware del Grupo Rocke fue descubierto por primera vez en julio de 2018 por Cisco Talos, un equipo de inteligencia dedicado a la detección de amenazas cibernéticas. Según David Liebenberg, analista de la firma, el actor Rocke se concentra en la minería de Monero.
El reporte señala que Unit 42 de Palo Alto Networks está trabajando conjuntamente con Tencent Cloud y Alibaba Cloud para solucionar los efectos de este malware. Sin embargo, los investigadores creen que es posible que más ataques de esta naturaleza se reproduzcan en el futuro.
A finales del año pasado, una investigación de McAfee Labs reportó un incremento de 4.000% en la proliferación de malware de criptominería. También se divulgó una vulnerabilidad en los routers MikroTik, que a principios de diciembre ya había comprometido 415 mil dispositivos con malware de minería maliciosa.
Imagen destacada por Gorodenkoff /stock.adobe.com
