Panda descubre un aumento de ataques al minado de criptomonedas

Panda Security, la firma española especializada en seguridad, afirma que es fácil de comprobar que el minado de criptomonedas como bitcoin, ethereum o monero está en auge porque también han aumentado los ataques cuyo objetivo era  instalar software de minería como objetivo principal. Por ejemplo, merece la pena recordar que antes de WannaCry, ya habíamos visto a atacantes utilizar el exploit de la NSA EternalBlue para entrar en empresas e instalar este tipo de software en las máquinas de sus víctimas, explica un comunicado de prensa.

Ahora, la novedad es que hace unos días la firma detectó un nuevo gusano que utiliza tanto herramientas de hacking como scripts para propagarse por redes corporativas y minar la criptomoneda Monero en toda red por donde pase. “Desde Adaptive Defense monitorizamos en tiempo real todos los procesos que están en ejecución en todas las máquinas donde está instalado, por lo que cuando nuestro equipo de Threat Hunting” y los expertos vieron  un comando tratando de ser ejecutado por uno de los procesos de un equipo. Investigando, se descubrió que los atacantes, al ser descubiertos, cerraron los servidores de comando y control. Aunque los investigadores pudieron descargar unos ficheros.

Explica un comunicado de prensa que “son 2 scripts altamente ofuscados. El “info6.ps1” carga de forma reflectiva (sin tocar el disco) un módulo (dll) de Mimikatz, de forma que pueda robar las credenciales que encuentre en el equipo. Estas credenciales se utilizarán posteriormente para moverse lateralmente en redes internas (desprotegidas)”.

Al mismo tiempo hace uso de WMI para ejecutar de forma remota comandos. Una vez obtenidas las contraseñas de un equipo, se ha visto como en ese equipo el proceso wmiprvse.exe” ejecuta una línea de comandos y cuando se decodifica el “base 64” de esta línea de comandos, se obtiene un script.

Reconocen los expertos en seguridad de Panda que “desconocemos aún el vector inicial de infección, ya que aquellas redes donde lo hemos detectado y bloqueado estaban en proceso de despliegue de Adaptive Defense en ese momento y no tenían toda la red protegida con nuestra solución de ciberseguridad avanzada. Es por este motivo por lo que no hemos podido determinar quién ha sido el paciente 0 y cómo fue éste comprometido”. Podría tratarse de una descarga/ejecución de un fichero/troyano que activase el gusano inicialmente, o bien fuese ejecutado de forma remota utilizando algún exploit.