Hasta 50,000 servidores en todo el mundo habrían sido infectados con un malware avanzado de cryptojacking que mina la criptomoneda de código abierto, centrada en la privacidad, turtlecoin (TRTL). La noticia fue develada en un análisis realizado por el hacker internacional y grupo experto en seguridad cibernética Guardicore Labs, el 29 de mayo.
'Cryptojacking' es un término de la industria que se usa para definir los ataques ocultos de criptominería que funcionan mediante la instalación de un malware que utiliza el poder de procesamiento de una computadora para minar criptomonedas sin el consentimiento o conocimiento del propietario.
Guardicore Labs, que detectó la campaña inicialmente en abril y rastreó sus orígenes y avance, cree que el malware habría infectado hasta 50,000 servidores MS-SQL y PHPMyAdmin de Windows en los últimos cuatro meses en todo el mundo. Los analistas rastrearon los ataques hasta fines de febrero, señalando la aguda expansión de la campaña a una velocidad superior a "setecientas nuevas víctimas por día".
Entre el 13 de abril y el 13 de mayo, el número de servidores infectados se duplicó, llegando a 47,985.
Guardicore Labs señala que la campaña de malware no es un típico ataque de criptomineros, ya que se basan en técnicas comúnmente vistas en grupos avanzados de amenazas persistentes, incluidas certificados falsos y 'exploits' de escalamiento de privilegios.
Los investigadores han apodado la campaña "Nansh0u", esto por una cadena de archivos de texto que, aparentemente, se usa en los servidores del atacante. Se cree que fue concebida por atacantes de habla china, ya que las herramientas en el malware se escribieron en el lenguaje de programación, basado en chino, EPL. Además, se sabe que varios archivos binarios y de registro en los servidores, incluían cadenas chinas. El análisis lo explica así:
“Las máquinas vulneradas incluyen más de 50,000 servidores que pertenecen a compañías en los sectores de salud, telecomunicaciones, medios e IT. Una vez comprometidos, los servidores seleccionados fueron infectados con cargas de códigos maliciosos. Estos, a su vez, introdujeron un criptominero e instalaron un sofisticado rootkit de modo kernel para evitar que el malware sea eliminado".
Respecto a la distribución geográfica, la mayoría de las víctimas se reportaron en China, Estados Unidos e India —aunque se cree que la campaña se ha difundido hasta en 90 países. La rentabilidad exacta del cryptojacking es más difícil de determinar, señala el informe, ya que los fondos minados se encuentran en la moneda privada turtlecoin.
Como advertencia a las organizaciones, los investigadores enfatizaron: "esta campaña demuestra una vez más que las contraseñas comunes aún constituyen el eslabón más débil en los flujos de ataques actuales".
La moneda centrada en la privacidad monero (XMR) históricamente ha sido particularmente predominante en las campañas de cryptojacking. Los investigadores informaron que a mediados del 2018, alrededor del 5% de la circulación de esta moneda se había minado a través de malware.
Un posible cambio de XMR a un nuevo algoritmo de prueba de trabajo en octubre hará que sea más difícil ocultar los intentos maliciosos de minería, así lo informó Cointelegraph recientemente.
Puede interesarte:
5% de Monero en circulación fue minado a través de malware, según un estudio
Los desarrolladores de Monero consideran adoptar un nuevo algoritmo de prueba de trabajo en octubre
