Sofisticada botnet de minería de criptomonedas identificada después de 2 años

La empresa de seguridad cibernética, Guardicore Labs, reveló el 1 de abril la identificación de una red de bots de minería de criptomonedas maliciosa que ha estado operando durante casi dos años.

El actor de la amenaza, apodado 'Vollgar' basado en su minería de la poco conocida moneda alternativa, Vollar (VSD), apunta a las máquinas de Windows que ejecutan servidores MS-SQL, de los cuales Guardicore estima que hay sólo 500,000 en existencia en todo el mundo.

Sin embargo, a pesar de su escasez, los servidores MS-SQL ofrecen una considerable potencia de procesamiento además de almacenar típicamente información valiosa como nombres de usuario, contraseñas y detalles de tarjetas de crédito.

• Investigadores revelan las tácticas furtivas de la criptominería de la botnet Stantinko

Se identificó una sofisticada red de malware de minería de criptomonedas

Una vez que se infecta un servidor, Vollgar "mata diligente y minuciosamente los procesos de otros actores de la amenaza", antes de desplegar múltiples puertas traseras, herramientas de acceso remoto (RAT) y mineros de criptomonedas.

El 60% sólo se infectó por Vollgar durante un corto período, mientras que aproximadamente el 20% permaneció infectado hasta varias semanas. Se encontró que el 10% de las víctimas fueron reinfectadas por el ataque. Los ataques Vollgar se han originado en más de 120 direcciones IP, la mayoría de las cuales se encuentran en China. Guardicore espera que la mayoría de las direcciones correspondan a máquinas comprometidas que están siendo usadas para infectar nuevas víctimas.

• Ledger advierte que una extensión falsa de Google Chrome roba las criptomonedas

Guidicore culpa en parte a las empresas de hosting corruptas que hacen la vista gorda ante las amenazas de los actores que habitan en sus servidores, afirmando:

"Lamentablemente, los registradores y empresas de hospedaje olvidados o negligentes son parte del problema, ya que permiten a los atacantes utilizar las direcciones IP y los nombres de dominio para hospedar infraestructuras enteras. Si estos proveedores siguen mirando hacia otro lado, los ataques a gran escala continuarán prosperando y operando bajo el radar durante largos períodos de tiempo".

Vollgar mina dos criptoactivos

El investigador de seguridad cibernética de Guardicore, Ophir Harpaz, dijo a Cointelegraph que Vollgar tiene numerosas cualidades que lo diferencian de la mayoría de los ataques de criptojacking.

• Ejecutivo de TI de la Fiscalía de Kiev minó ilegalmente criptomonedas en los sistemas de oficina

"Primero, mina más de una criptomoneda, Monero y la moneda alternativa VSD (Vollar). Además, Vollgar utiliza un pool privado para orquestar toda la red de botnets mineros. Esto es algo que sólo un atacante con una red de bots muy grande consideraría hacer."

Harpaz también señala que, a diferencia de la mayoría de los programas maliciosos para la minería, Vollgar trata de establecer múltiples fuentes de ingresos potenciales mediante el despliegue de múltiples RAT sobre los mineros maliciosos. "Tal acceso puede ser fácilmente traducido en dinero en la dark web", añade.

Vollgar opera durante casi dos años

Si bien el investigador no especificó cuándo fue que Guardicore identificó por primera vez a Vollgar, afirma que el aumento de la actividad de la red de bots en diciembre de 2019 llevó a la empresa a examinar más de cerca el malware.

• El gobierno suspende la demanda de la SEC contra ICO de 30 millones de dólares en medio de una investigación paralela

"Una investigación a fondo de esta red de bots reveló que el primer ataque registrado se remontaba a mayo de 2018, lo que resume casi dos años de actividad", dijo Harpaz.

Prácticas óptimas de seguridad cibernética

Para prevenir la infección por Vollgar y otros ataques de criptominería, Harpaz insta a las organizaciones a que busquen puntos ciegos en sus sistemas.

"Recomendaría comenzar con la recolección de datos de flujo de red y obtener una visión completa de qué partes del centro de datos están expuestas a Internet. No puedes entrar en una guerra sin inteligencia; mapear todo el tráfico entrante a tu centro de datos es la inteligencia que necesitas para luchar la guerra contra los criptomineros".

• Kaspersky: Cryptojacking es un vector de ataque cada vez más popular para las redes de bots

"A continuación, los defensores deberían verificar que todas las máquinas accesibles funcionan con sistemas operativos actualizados y credenciales sólidas", añade.

Los estafadores oportunistas aprovechan el COVID-19

En las últimas semanas, los investigadores de seguridad cibernética han dado la alarma con respecto a una rápida proliferación de estafas que buscan aprovechar los temores por el coronavirus.

La semana pasada, los reguladores del condado del Reino Unido advirtieron que los estafadores se hacían pasar por el Centro de Control y Prevención de Enfermedades y la Organización Mundial de la Salud para redirigir a las víctimas a enlaces maliciosos o para recibir fraudulentamente donaciones como Bitcoin (BTC).

A principios de marzo, se identificó un ataque de bloqueo de pantalla que circulaba bajo el pretexto de instalar un mapa térmico que rastreaba la propagación del coronavirus llamado 'CovidLock'.

Sigue leyendo:

• Investigadores revelan las tácticas furtivas de la criptominería de la botnet Stantinko
• Ledger advierte que una extensión falsa de Google Chrome roba las criptomonedas
• Ejecutivo de TI de la Fiscalía de Kiev minó ilegalmente criptomonedas en los sistemas de oficina
• El gobierno suspende la demanda de la SEC contra ICO de 30 millones de dólares en medio de una investigación paralela
• Kaspersky: Cryptojacking es un vector de ataque cada vez más popular para las redes de bots
• Firma de ciberseguridad Check Point Research informa sobre la 'evolución' del criptojacker de Monero
• Informe: número de routers afectados por criptomalware se ha duplicado desde agosto, alcanzando los 415K