PyCryptoMiner: nuevo malware diseñado para minar la criptodivisa Monero

  • Actualidad

Una de las peculiaridades de esta amenaza es la utilización de scripts en Python para instalar el software de minado, por lo que es relativamente fácil para los delincuentes pasar inadvertidos. Los sistemas infectados forman parte de una botnet gestionada por los delincuentes, cuyo tamaño podría estar en varios miles de dispositivos.

Una de las tendencias de ciberseguridad de este año es el aumento de los ataques relacionados con el minado no autorizado de criptodivisas, un pronóstico que se confirma recién estrenado 2018. Durante los últimos meses hemos visto cómo han ido apareciendo numerosas muestras de malware especializadas tanto en el robo como en el minado no autorizado de criptodivisas, las cuales no se limitan a atacar sistemas Windows, sino que también buscan víctimas en dispositivos Android o entre sistemas Linux. A este respecto, ESET apunta a un nuevo malware llamado PyCryptoMiner, descubierto recientemente por investigadores de F5 Networks, cuya finalidad principal es la minería de la criptodivisa Monero.

También puedes leer...

La nueva Mafia

El riesgo de los altavoces inteligentes

Los cinco grandes mitos de las Brechas de Seguridad

Consideraciones para la creación de un SOC

Cómo utilizar la Dark Web para la inteligenciad de amenazas

Esta amenaza tiene como características destacables el que todos los sistemas infectados forman parte de una botnet gestionada por los delincuentes, y que los ciberdelincuentes realizan ataques de fuerza bruta contra sistemas Linux que tengan expuesto el puerto utilizado para el protocolo SSH (normalmente el 22). Si los delincuentes consiguen averiguar la contraseña, acceden al sistema y utilizan scripts en Python para instalar el software de minado. Puesto que este es un lenguaje de programación que permite ser ejecutado de forma sencilla por varios de los intérpretes de código incluidos de serie en sistemas Linux o Windows, es relativamente fácil para los delincuentes conseguir que pasen inadvertidos, al menos bastante más que intentar ejecutar un binario malicioso.

Los pasos que sigue esta amenaza empiezan con la descarga de un script en Python muy simple que actúa como avanzadilla, recopilando información del sistema de la víctima e informando al centro de mando y control de la botnet. Esto puede servir para detectar objetivos más interesantes a la hora de instalar el software de minado, porque cuentan con una cantidad de recursos más elevada. Seguidamente, desde el centro de mando y control se envía otro script de Python a la máquina objetivo, que se encarga de instalar el cliente de minado de Monero. A partir de este momento, los recursos del sistema estarán a disposición de los delincuentes. Todo apunta a que el tamaño de la botnet podría estar en, aproximadamente, varios miles de dispositivos infectados.

Parece que la previsión del aumento de las amenazas relacionadas con las criptodivisas, en especial el minado no autorizado, va ganando terreno, y que, al contrario que el ransomware, no deja inoperativo el sistema, algo que puede hacer que muchos no se den cuenta de que están infectados hasta que haya pasado bastante tiempo. “Es por eso que debemos estar atentos y monitorizar aquello que nos resulte extraño, como los picos de consumo de recursos, tanto en endpoints como en servidores, móviles y dispositivos de todo tipo. Un elevado consumo de recursos puede ser un indicativo de que algo no funciona adecuadamente, especialmente en servidores, y deberíamos contemplar la posibilidad de que alguien esté utilizando nuestros sistemas en beneficio propio”, apunta Josep Albors, responsable de concienciación de ESET en España.