H-Ant: nuevo ransomware secuestra equipos de minería en China

Un nuevo ransomware llamado H-Ant está atacando  a los equipos mineros en China, principalmente a los Antminer de Bitmain.

Según la información publicada por la agencia de noticias china Yibenchain, el malware se comenzó a identificar en agosto de 2018 pero los problemas de infección se han agudizado este mes de enero, con el aumento de los equipos infectados. H-Ant se propaga a través del programa que permite manejar los equipos (firmware), el cual fue replicado por los mineros sin percatarse, poniendo en peligro la seguridad de muchas minas en el país asiático.

Al respecto, se explica que los modelos afectados son S9, T9, y probablemente también el L3 Antminer de litecoin, todos de la empresa china Bitmain, líder en la fabricación de equipos para minería que también opera uno de los grupos de minería más grandes, Antpool Bitcoin Mining. También hay indicios de que Canaan Creative y su modelo Avalon Miner están afectados.

La fuente agrega que una vez que una plataforma para minería de criptomonedas se infecta con H-Ant, el dispositivo incauta parte de las criptomonedas generadas por minería. Luego, si el propietario conecta el dispositivo a una pantalla LCD, aparece una imagen similar a una matriz que revela la nota de ransomware H-Ant escrita en inglés y chino.

El mensaje de los piratas informáticos advierte que el virus se puede transmitir hasta unas 1.000 máquinas de otras minas en forma de parches de firmware (actualizaciones), por lo que exige el pago de 10 BTC para evitarlo. Aunque se estima que el verdadero propósito de los hackers es robar el poder de procesamiento de los mineros, tomando en cuenta que una sola hora las máquinas pueden generar grandes ganancias.

La fuente añade H-Ant infectó las instalaciones de un minero chino en minutos, manteniendo a 4.000 de sus dispositivos como rehenes. Sin embargo, ya se han encontrado soluciones para eliminar el ransomware de los equipos infectados, entre ellas volver a instalar la tarjeta SD del minero y luego reinstalar el software. Aunque es un proceso que toma su tiempo y genera pérdidas al minero. 

Posible fuente de propagación

El sitio de noticias chino 8btc entrevistó a Jiang Zhuoer, fundador de la reserva minera btc.top, quien supone que el H-Ant fue insertado por una persona anónima a través del software overclocking, muy utilizado para aumentar el poder de cálculo de las máquinas mineras, a pesar de no ser recomendado.

Jiang Zhuoer explica que han estado rastreando el virus desde hace tiempo y señala que hasta el momento solo los mineros chinos están afectados, por ello cree que el software malicioso se ha distribuido a través de un servicio en la nube provisto por Baidu, un motor de búsqueda chino parecido a Google. Asimismo, el minero no considera que exista peligro para la red de Bitcoin, pues su poder hash está altamente descentralizado y es muy difícil averiguar dónde están realmente los mineros.

No obstante, el virus sigue evolucionando y se han desarrollado varias versiones. Ahora puede incluso monitorear los cambios de contraseñas que realizan los mineros. Ante esta situación muchos de ellos están desarrollando un nuevo software antivirus para equipos ASIC, según expone la agencia Yibenchain. 

H-Ant representa una nueva modalidad de ataque cibernético. Si bien también se vale del mundialmente conocido Ransomware, ahora está dirigido contra los equipos y las grandes empresas de minería. Hasta ahora los ataques al sector se conocían principalmente bajo el esquema denominado minería encubierta (cryptojacking), en el cual los piratas informáticos usan virus para secuestrar las computadoras de otras personas y las utilizan para minar criptomonedas en secreto. 

De acuerdo a los datos de la firma de seguridad McAfee Labs, la minería encubierta tuvo un auge de 4000% en 2018, convirtiéndose en uno de los principales problemas de seguridad para el ecosistema, junto al ransomware.

Imagen destacada por zephyr_p / stock.adobe.com