El grupo de hackers Librarian Ghouls ha comprometido cientos de dispositivos rusos y los ha utilizado para minar criptomonedas en lo que parece ser un caso de criptojacking, según la empresa de ciberseguridad Kaspersky.
El grupo de hackers, también conocido como Rare Werewolf, accede a los sistemas a través de correos electrónicos de phishing infectados con malware que se hacen pasar por mensajes de organizaciones legítimas y que parecen ser documentos oficiales u órdenes de pago, según informó Kaspersky en un informe publicado el lunes.
Los hackers recopilan información sobre los dispositivos antes de minar
Una vez que un ordenador se infecta con el malware, los hackers establecen una conexión remota y desactivan los sistemas de seguridad, como Windows Defender.
El dispositivo infectado también está programado para encenderse a la 1 de la madrugada y apagarse a las 5, y los hackers aprovechan ese intervalo de tiempo para establecer un acceso remoto no autorizado y robar las credenciales de inicio de sesión.
"Creemos que los atacantes utilizan esta técnica para cubrir sus huellas, de modo que el usuario no se dé cuenta de que su dispositivo ha sido secuestrado", afirma Kaspersky.
A continuación, roban las credenciales de inicio de sesión y recopilan información sobre la RAM disponible del dispositivo, los núcleos de la CPU y las GPU para configurar de forma óptima el minero de criptomonedas antes de implementarlo.
Mientras el minero está en funcionamiento, los hackers mantienen una conexión con el grupo de minería, enviando una solicitud cada 60 segundos, según Kaspersky.
"Observamos que los atacantes están perfeccionando continuamente sus tácticas, que abarcan no solo la exfiltración de datos, sino también el despliegue de herramientas de acceso remoto y el uso de sitios de phishing para comprometer cuentas de correo electrónico", afirmó la empresa.
La campaña de criptojacking está en curso desde 2024
Hasta ahora, la campaña de hackeo, que comenzó en diciembre y sigue en curso, ha afectado a cientos de usuarios rusos, en particular a empresas industriales y escuelas de ingeniería, y se han registrado víctimas adicionales en Bielorrusia y Kazajistán.
No se ha determinado el origen del grupo; sin embargo, Kaspersky afirma que los correos electrónicos de phishing están "redactados en ruso e incluyen archivos con nombres de archivo en ruso, junto con documentos señuelo en ruso".
"Esto sugiere que los objetivos principales de esta campaña probablemente se encuentren en Rusia o hablen ruso", afirmó Kaspersky.
Los Librarian Ghouls podrían ser hacktivistas
Kaspersky especula que los Librarian Ghouls podrían ser hacktivistas, que utilizan el hackeo como forma de desobediencia civil para promover una agenda política, debido al uso de técnicas comúnmente asociadas con grupos similares, como la dependencia de software legítimo de terceros.
"Una característica distintiva de esta amenaza es que los atacantes prefieren utilizar software legítimo de terceros en lugar de desarrollar sus propios binarios maliciosos", afirma Kaspersky.
Se desconoce cuánto tiempo lleva activo el grupo, pero otra empresa rusa de ciberseguridad, BI. ZONE, afirmó en un informe del 23 de noviembre que Rare Werewolf lleva activo al menos desde 2019.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión