Los ataques destinados a proporcionar herramientas de minería de criptomonedas en redes corporativas se multiplicaron por seis, según los datos de telemetría recopilados por el equipo X-Force de IBM entre enero y agosto de 2017.
Un informe reciente de la firma de seguridad cibernética Kaspersky reveló que el malware de minería de criptomonedas también infectó a más de 1,65 millones de máquinas que ejecutan soluciones de Kaspersky en los primeros ocho meses del año.
Mientras que Kaspersky recopilaba datos principalmente de terminales de escritorio, la telemetría de IBM recopilaba datos de servidores y otros sistemas empresariales.
Los atacantes escondieron mineros de criptomonedas en archivos de imágenes falsas
Según IBM, la mayoría de las infecciones que vio la empresa en los primeros ocho meses del año involucraron la misma herramienta de minería y técnicas de infección similares.
Dave McMillen de IBM le dijo a Bleeping Computer por correo electrónico que los atacantes usan «una amplia gama de exploits […] en el primer compromiso […] Plataformas CMS (WordPress y Joomla y servidor JBoss) antes del lanzamiento del siguiente CMDi [command injection] attack», que instaló la herramienta de minería de criptomonedas.
«esto [mining] Las herramientas estaban ocultas en archivos de imágenes falsos, una técnica conocida como esteganografía, alojadas en servidores web comprometidos que ejecutan Joomla o WordPress, o almacenadas en servidores de aplicaciones JBoss comprometidos”, dice McMillen.
El experto afirma que los atacantes suelen descargar una versión personalizada de una herramienta de minería legítima llamada Minerd, o un puerto de Linux llamado kworker.
“En la mayoría de los casos, los atacantes intentaron extraer monedas basadas en CryptoNote como Monero (XMR), que utiliza el algoritmo de minería CryptoNight”, dijo McMillen.
Ataque a empresas específicas en todos los sectores verticales de la industria
«No podemos determinar la cantidad de grupos de atacantes o servidores infectados a partir de nuestros datos de ataque», agregó McMillen, pero dijo que los atacantes no eran quisquillosos e infectaron todos los objetivos que podían alcanzar.
Los servidores infectados se han extendido a través de varios verticales, como fabricación, finanzas, comercio minorista, TI y comunicaciones, etc.
Más versiones de Mirai con soporte para minería
En abril, el mismo equipo de IBM X-Force descubrió una versión del malware Mirai IoT que tenía una funcionalidad experimental de minería de criptomonedas.
Como muchos expertos predijeron en ese momento, McMillen confirmó hoy que IBM no ha visto ninguna nueva variedad de malware Mirai implementando la funcionalidad de minería.
“La explotación de IoT puede ser más una prueba de concepto por parte de los atacantes”, dijo McMillen a Bleeping. El experto también agregó que espera que los atacantes apunten tanto a los servidores como a las estaciones de trabajo por igual, ya que ambos son entornos muy lucrativos para las operaciones mineras.
Los informes de IBM y Kaspersky sobre el aumento de las detecciones de malware de minería de criptomonedas se producen después de una serie de incidentes en los últimos meses que involucraron a los mineros de moneda virtual.
