Campaña de cryptojacking ha infectado más de 50 mil servidores

Especialistas en auditorías de sistemas han detectado una campaña de cryptojacking de largo alcance; se reporta que los actores de amenazas detrás de esta campaña, presuntamente hackers chinos, ya han infectado más de 50 mil servidores en menos de cuatro meses.

Los investigadores han bautizado esta campaña de ataques como “Nansh0u”, debido a una cadena de archivos de texto en los servidores del atacante; “no se trata de una simple campaña de minado de criptomoneda”, afirman los especialistas.

El malware que distribuyen los atacantes es empleado para minar una criptomoneda de código abierto llamada TurtleCoin; para desplegar el software de minado, los atacantes han decidido recurrir a sofisticadas técnicas empleadas recurrentemente por grupos de hackers patrocinados por gobiernos, como el uso de certificados y múltiples versiones diferentes de la carga útil.

“Hasta ahora hemos identificado más de 50 mil servidores comprometidos pertenecientes a compañías de diversos sectores, como las telecomunicaciones, la salud, medios de comunicación y compañías de TI”, comentaron los expertos en auditorías de sistemas  Acorde al reporte de los investigadores, después de que el servidor es infectado se carga el software de minado y se instala un rootkit para garantizar la persistencia del malware.

En cuanto a la búsqueda de objetivos para el ataque, los hackers escanean Internet para localizar puertos abiertos en servidores MS-SQL para luego conseguir acceso utilizando ataques de fuerza bruta. Posteriormente, los hackers ejecutan comandos arbitrarios en los sistemas comprometidos y descargan las cargas útiles y el software de minado desde un servidor remoto.  

El objetivo primordial de los atacantes es el minado de criptomoneda, mencionan los expertos en auditorías de sistemas. No obstante, no se descarta que, como consecuencia de las técnicas de ataque utilizadas, los hackers consigan información sobre los servidores comprometidos que pueda ser útil en ataques futuros. Debido a las características de TurtleCoin, que es un activo virtual con un enfoque específico en la privacidad, es complicado calcular los ingresos que esta campaña ha generado para los atacantes.

Expertos del Instituto Internacional de Seguridad Cibernética (IICS) consideran que esta es una muestra más de la necesidad de implementar medidas de autenticación más confiables en sistemas críticos. Para los grupos de hackers maliciosos es relativamente fácil romper la seguridad de la fórmula nombre de usuario-contraseña, por lo que es necesario considerar otras formas de autenticación.