Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Descubierta una nueva campaña de cryptojacking de Monero

  • Actualidad

malware amenaza seguridad

Los investigadores de Check Point han detectado una nueva variantes del malware de crytojacking de Monero, con gran potencial para utilizar herramientas y vulnerabilidades de Windows. Según la firma, se trata de una importante amenaza para las empresas.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

Check Point ha descubierto una nueva campaña de cryptojacking que supone una importante amenaza para las organizaciones por su potencial para utilizar herramientas y vulnerabilidades de Windows para infectar redes de ordenadores interconectados. Esta nueva variante lleva activa varios meses y guarda muchas similitudes con las técnicas de infección y propagación de ataques anteriores de ransomware, según informa el equipo de investigación de la compañía.

Una vez el troyano ha sido ejecutado en la carpeta ‘User Temporary’, el primer objetivo de este ataque se centra en detener las versiones de sí mismo que se hayan ejecutado con anterioridad en ese mismo dispositivo. A su vez, descarga en el ordenador un Bitcoin Miner y lo ejecuta de forma paralela y, después, se conecta al servidor de control y comando (C&C) y lo actualiza con la información más reciente obtenida del equipo infectado.

Uno de los hechos más destacados de esta amenaza reside en que utiliza herramientas de Windows como WMI o Netsh Windows para abrir los puertos necesarios para conectarse a la red y comenzar así el proceso de minería, creando tareas programadas para imitar una aplicación de servidor web y ejecutarse al inicio. El malware utiliza herramientas de código abierto y basadas en scripts para realizar movimientos laterales en la empresa infectada.

De forma más pormenorizada, Check Point describe la secuencia del ataque. Primero, el punto de acceso se obtiene, generalmente, a través de email, archivos o vulnerabilidades en aplicaciones, permitiendo así que el malware tenga acceso a la red de una empresa. En este primer momento, sin embargo, las compañías no pueden detectar la amenaza.

Después, detecta vulnerabilidades y accesos adicionales a la red y se comunica con los servidores C&C. Como consecuencia, el código malicioso entra en la red infectada.

El tercer paso es la Expansión por la red atacando nuevos puntos para, en caso de que alguno de los errores provocados con anterioridad haya sido subsanado, poder continuar con el ataque a través de los nuevos puntos generados

Seguidamente, extrae datos de la red infectada para luego recopilarlos en un servidor de almacenamiento externo. De esta forma, el atacante se encuentra en una situación de control total sobre la información obtenida. 

Finalmente, las cargas ofuscadas, ya sea bitcoin miner, troyano o ransomware, acceden a los servidores de la organización.

Tras insistir en que es una campaña potencialmente dañina, Eusebio Nieva, director técnico de Check Point para España y Portugal, ha destacado que “descargar parches de seguridad y actualizaciones sólo sirve para configurar un primer nivel de seguridad. Por ello, para evitar ser víctima de este tipo de ataques, nuestra recomendación se centra en ir un paso más allá e implementar soluciones avanzadas de prevención de amenazas”.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos