Los cibercriminales están usando EternalBlue para distribuir malware de minado de criptomonedas

Estándar

El año 2017 fue el de las filtraciones de datos de alto perfil y los ataques de ransomware, pero desde el comienzo de este año las empresas especializadas en seguridad informática han notado un cambio rápido en el panorama de amenazas cibernéticas, ya que el malware relacionado con criptomonedas se está convirtiendo en una opción popular y rentable para los ciberdelincuentes .

Varias de estas empresas están informando sobre nuevos virus de minería de criptomonedas que se propagan utilizando EternalBlue, el mismo exploit creado por la NSA que fue filtrado por el grupo de piratería Shadow Brokers y responsable de la devastadora amenaza de ransomware WannaCry.

Los investigadores de Proofpoint descubrieron una botnet global masiva llamada “Smominru“, también conocida como Ismo, que está utilizando el exploit SME EternalBlue (CVE-2017-0144) para infectar las computadoras que usan el sistema operativo Windows para extraer en secreto la criptomoneda Monero, con el consecuente gasto de energía y CPU, sin que el usuario infectado lo sepa y estos ciberdelincuentes pueden hacer dinero a costa de usuarios desprevenidos.

La botnet Smominru, probablemente esté activa desde al menos mayo de 2017, y ya ha infectado más de 526,000 computadoras con Windows a nivel mundial, la mayoría de las cuales se cree que son servidores que ejecutan versiones sin parchar de Windows, según los investigadores de Proofpoint.

En el informe publicado por Proofpoint podemos leer que: “Según el poder de hash asociado con la dirección de pago de Monero para esta operación, parecía que esta botnet tenía probablemente el doble del tamaño de Adylkuzz“.

Los operadores de estas botnets ya han extraído aproximadamente 8,900 Moneros, valorados en hasta $ 3.6 millones, a una tasa de aproximadamente 24 Monero por día ($ 8,500) al robar los recursos informáticos de las computadoras infectadas.

El mayor número de infecciones por Smominru se ha observado en Rusia, India y Taiwán, dijeron los investigadores.

La infraestructura de comando y control de la botnet Smominru está alojada en el servicio de protección DDoS SharkTech, que fue notificado del abuso, pero la empresa presuntamente ignoró las notificaciones de abuso.

Según los investigadores de Proofpoint, los ciberdelincuentes están utilizando al menos 25 servidores para escanear Internet para encontrar computadoras Windows vulnerables y también usan la herramienta EsteemAudit (CVE-2017-0176) de la NSA que explota una vulnerabilidad del protocolo RDP, para detectar e infectar a las computadoras vulnerables.

Los investigadores concluyeron:

Como Bitcoin se ha convertido en un recurso prohibitivo para minar fuera de las explotaciones mineras dedicadas, el interés en Monero se ha incrementado dramáticamente. Mientras que Monero ya no se puede explotar eficazmente en computadoras de escritorio, una botnet distribuida como la descrita aquí puede resultar bastante lucrativa para sus operadores

Los operadores de esta botnet son persistentes, utilizan todos los exploits disponibles para expandir su botnet y han encontrado múltiples formas de recuperación después de las operaciones de limpieza. Dadas las importantes ganancias disponibles para los operadores de botnets y la resiliencia de la botnet y su infraestructura, esperamos estas actividades continuen, junto con sus posibles impactos en los nodos infectados.

Otra empresa de seguridad, CrowdStrike, publicó recientementeen su blog, sobre la existencia de otro malware sin cifrado de criptomoneda ampliamente difundido, denominado WannaMine, que utiliza el exploit EternalBlue para infectar las computadoras y extraer la criptomoneda Monero.

Dado que no descarga ninguna aplicación a una computadora infectada, las infecciones WannaMine son más difíciles de detectar por los programas antivirus. Los investigadores de CrowdStrike observaron que el malware ha hecho “que algunas empresas no puedan operar por varios días e incluso semanas”.

Además de infectar sistemas, los ciberdelincuentes también están adoptando ataques de cryptojacking, en donde los mineros de JavaScript utilizan el poder de CPU de los visitantes del sitio web para extraer criptomonedas para la monetización.

Desde que se descubrieron los ataques de malware de minería de criptomoneda recientemente observados aprovechando la vulnerabilidad EternalBlue, que ya había sido parcheada por Microsoft el año pasado, se aconseja a los usuarios mantener sus sistemas y software actualizados para evitar ser víctimas de este tipo de amenazas.