Descubren malware de minería de criptomonedas que afecta a más de 500.000 computadoras

Carbon Black (NASDAQ: CBLK), un líder en protección de endpoints  (protección de punto final) nativa de la nube, publicó recientemente un informe de amenazas que describe cómo han avanzado los ataques con un malware de minería de criptomonedas que roba información de acceso a los sistemas, para una posible venta en la web oscura.

Apodado “Access mining” o Minería de Acceso por los investigadores de Carbon Black, este ataque en particular puede afectar a más de 500.000 computadoras en todo el mundo. Los métodos utilizados podrían allanar el camino para ataques más peligrosos y de mayor alcance, ya que las amenazas consideradas de menor prioridad pueden abrir la puerta a ataques más avanzados y dirigidos, que se pueden vender al mejor postor.

El descubrimiento se realizó después de que el equipo CB ThreatSight™ alertó a Carbon Black sobre el comportamiento inusual visto en un puñado de puntos finales. La investigación posterior reveló un sofisticado malware de múltiples etapas que enviaba metadatos detallados del sistema a una red de servidores web secuestrados. Se presume que el propósito es revenderlos en uno (o muchos) mercados de acceso remoto, a través de la web oscura.

Los investigadores de Carbon Black, Greg Fossy y Marina Liang, presentaron sus investigaciones en un informe llamado “Minería de acceso: cómo un prominente botnet de criptominería está allanando el camino para un modelo de ingresos lucrativo e ilícito”.

En el informe, ambos investigadores plantean lo siguiente:

Access Mining es una táctica en la que un atacante aprovecha la huella y la distribución de malware de productos básicos, en este caso, un minero de criptomonedas, y lo utiliza para enmascarar una agenda oculta de venta de acceso al sistema, a máquinas específicas en la web oscura. Este descubrimiento indica que existe una mayor tendencia a desarrollar malware que evolucionan para enmascarar un propósito más oscuro. Esto probablemente catalizará un cambio en la forma en que los profesionales de ciberseguridad clasifican, investigan y se protegen de las amenazas.

Entre los principales hallazgos clave del informe destacan que hay, al menos, 500.000 máquinas afectadas. Agregan que el 60% de las víctimas provienen de la región de Asia Pacífico, y el resto de Rusia y Europa del Este. Señalan también que los atacantes utilizan cada vez más herramientas reutilizadas, exploits modificados e infraestructura robada.

En campañas anteriores, se utilizó una versión modificada del protocolo XMRig para realizar la minería de Monero. Además de la XMRig modificada, la investigación mostró que el grupo ahora utiliza herramientas de código abierto y malwares fácilmente disponibles, como Mimikatz y EternalBlue, que se han modificado para pivotar desde los sistemas infectados y ampliar el alcance de su campaña.

La investigación también destaca un vínculo inesperado entre el malware de minería de criptomonedas  Smominru y la red de robots de informática MyKings, los cuales se describen en el informe completo. Asimismo, se utilizaron versiones modificadas de Cacls, XMRig y EternalBlue. Los investigadores encontraron que al obtener la mayor parte del código a través de sitios como GitHub, se aceleró la innovación para lograr el acceso.

Combinación de malware básico con acceso para la venta

El modelo de negocio para Access Mining generalmente combina un flujo de ganancias de la minería criptomonedas con un flujo de ganancias de la venta del acceso al sistema. Ambos pueden ser muy lucrativos. Según algunas estimaciones de los últimos descubrimientos, las ganancias pueden ser de hasta USD 1,6 millones anuales, si se hace a escala.

“Este descubrimiento demuestra cómo prácticamente cualquier compañía podría ser apalancada en un ataque dirigido, incluso si esa compañía carece de una marca mundial, activos de propiedad intelectual conocidos o una lista Fortune 1000”, dijeron los investigadores. “Access Mining representa un enfoque escalable y económico para que un adversario encuentre objetivos valiosos”, concluyen.

Versión traducida del artículo de IBTimes SG Desk, publicado en IBTimes.