Red Canary detectó los sistemas informáticos de empresas que han sido infectados con el malware que instala una aplicación de para minar la criptomoneda Monero.
Antilavadodedinero / Cointelegraph.com
El grupo de malware Blue Mockingbird ha infectado los sistemas de más de 1000 empresas con el malware de minería de Monero (XMR) desde diciembre de 2019.
La escala global de las operaciones del grupo de hackers fue revelada por la empresa de seguridad en la nube Red Canary este 26 de mayo.
El informe describió la metodología del grupo. El malware ataca a los servidores que ejecutan aplicaciones ASP.NET y aprovecha una vulnerabilidad para instalar un shell web en la computadora atacada y obtener acceso de administrador para modificar la configuración del servidor.
A continuación, los ciberdelincuentes instalan la aplicación XMRRig para aprovechar los recursos de las máquinas infectadas. La mayoría de las computadoras infectadas pertenecen a grandes empresas, aunque Red Canary no reveló ningún nombre.
Vulnerabilidades del protocolo de escritorio remoto
Al igual que con los recientes ataques de ransomware con troyanos, los delincuentes aprovecharon los errores del protocolo de escritorio remoto en Windows para penetrar en los sistemas.
El informe destaca que aunque es difícil cuantificar el número total de infecciones, estos ataques ocurrieron en un período de tiempo relativamente corto.
Red Canary también advierte que las compañías que creen estar a salvo de tales ataques tienen un alto riesgo de que su infección sea violada por la infección de malware.
Hablando con Cointelegraph, Brett Callow, analista de amenazas en el laboratorio de malware Emsisoft, comentó sobre las vulnerabilidades actuales de los sistemas ante tales ataques:
“Los delincuentes cibernéticos buscan específicamente errores y vulnerabilidades y cuando las encuentran, las explotan. Las empresas pueden reducir significativamente su factor de riesgo siguiendo las mejores prácticas bien establecidas, como implementar parches a tiempo, usar MFA, deshabilitar PowerShell cuando no sea necesario, etc. Si esas mejores prácticas no se cumplen y los servidores con conexión a Internet quedan vulnerables, es significativamente es más probable que una empresa reciba un ataque de malware, ransomware, exfiltración de datos u otro evento de seguridad “.
Ataques recientes relacionados con XMRRig
El uso de la aplicación XMRRig para criptominería no autorizada es un fenómeno reciente que ha sido utilizado por varios grupos de piratas informáticos.
Cointelegraph informó en noviembre de 2019 que un malware apuntó a instancias vulnerables de Docker para implementar la de minería de Monero.
En el mismo año, los informes publicados por las compañías de ciberseguridad Symantec y BlackBerry Cylance advirtieron sobre la inyección de la aplicación XMRRig en las computadoras a través de archivos de música.
