2018 está mutando el negocio del cibercrimen

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

2017 fue el año de las filtraciones de datos de alto perfil y los ataques de ransomware, pero desde el comienzo de 2018 notamos un cambio más rápido en el panorama de amenazas cibernéticas.

El malware relacionado con criptomonedas se está convirtiendo en una opción popular y rentable de ciberdelincuentes.

Varias empresas de seguridad cibernética están informando sobre nuevos virus de minería de criptomonedas que se propagan utilizando EternalBlue, el mismo exploit de la NSA que fue filtrado por el grupo de piratería Shadow Brokers y responsable de la devastadora amenaza de ransomware WannaCry.

Investigadores descubrieron una botnet global masiva llamada “Smominru”, a.k. a Ismo, que está utilizando el exploit SME EternalBlue (CVE-2017-0144) para infectar las computadoras Windows para extraer en secreto la criptomoneda Monero.

 Activo desde al menos mayo de 2017, Smominru botnet ya infectó más de 526,000 computadoras con Windows, la mayoría de las cuales se cree que son servidores que ejecutan versiones sin parchar de Windows.

Según el poder de hash asociado con la dirección de pago de Monero para esta operación, parecía que esta botnet tenía probablemente el doble del tamaño de Adylkuzz.

Los operadores de botnets ya han extraído aproximadamente 8.900 Monero, valorados en hasta $ 3.6 millones, a una tasa de aproximadamente 24 Monero por día ($ 8,500) al robar los recursos informáticos de millones de sistemas.

Malware Cryptoconcurrente para minar Monero

El mayor número de infecciones Smominru se ha observado en Rusia, India y Taiwán, según consta en nuestros registros de malware.

La infraestructura de comando y control de la botnet Smominru está alojada en el servicio de protección DDoS SharkTech, que fue notificado del abuso, pero la empresa presuntamente ignoró las notificaciones de abuso.

Los ciberdelincuentes están utilizando al menos 25 máquinas para escanear Internet para encontrar computadoras Windows vulnerables y también usar el explorado explorador del protocolo RDP de la NSA, EsteemAudit (CVE-2017-0176), para detectar infección.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris