La multinacional estadounidense de seguridad cibernética Palo Alto Networks descubrió una nueva variedad de malware de minería de Monero, al cual denominó como Lucifer, y cuya campaña se encontraba aún activa al momento de divulgar la información. Así lo comunicó la compañía el pasado 24 de junio a través de una publicación en su sitio web.
Los investigadores de la Unidad 42 de Palo Alto Networks lograron descubrir esta nueva familia de malware el pasado 29 de mayo. Según el comunicado, estos expertos en seguridad pudieron detectar dos versiones de Lucifer durante sus investigaciones. Desde la Unidad 42 explicaron que el descubrimiento ocurrió a partir de numerosos incidentes analizados que explotaban la vulnerabilidad CVE-2019-9081.
Los investigadores descubrieron que este malware de minería de criptomonedas maliciosa también tiene la capacidad de ejecutar ataques DDoS, tiene diferentes estrategias de propagación y que, además, «está bien equipado con tipo de exploits contra hosts vulnerables de Windows», apuntaron.
«Lucifer es un nuevo híbrido de cryptojacking y variante de malware DDoS que aprovecha las vulnerabilidades antiguas para propagarse y realizar actividades maliciosas en las plataformas de Windows. Se recomienda encarecidamente aplicar las actualizaciones y parches al software afectado. El software vulnerable incluye Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework y Microsoft Windows. También se recomiendan contraseñas seguras para evitar ataques de diccionario». Unidad 42 de Palo Alto Networks.
Desde Palo Alto Networks compartieron una lista de las vulnerabilidades que aprovecha el malware Lucifer, las cuales señalaron como altas o críticas, «debido a su naturaleza trivial para explotar y su tremendo impacto infligido en la víctima».
Los investigadores de la Unidad 42 de Palo Alto Networks apuntaron que tras explotar tales vulnerabilidades, el atacante puede «ejecutar comandos arbitrarios en el dispositivo vulnerable». Los expertos en ciberseguridad indicaron que los objetivos de esta campaña de criptojacking son hosts de Windows, «tanto en Internet como la intranet».
«Lucifer es bastante poderoso en sus capacidades. No solo es capaz de soltar XMRig para cryptojacking Monero, sino que también es capaz de operar con comando y control (C2) y autopropagarse mediante la explotación de múltiples vulnerabilidades y la fuerza bruta de credenciales. Además, elimina y ejecuta la puerta trasera EternalBlue, EternalRomance y DoublePulsar contra objetivos vulnerables para infecciones de intranet». Unidad 42 de Palo Alto Networks.
Los investigadores de la Unidad 42 reportaron que, hasta el momento de publicar la información relacionada con Lucifer, el monedero de Monero relacionado había recibido unos 0,493527 XMR, equivalente a unos 32 dólares aproximadamente.
Los investigadores lograron detener la primera ola de ataques el pasado 10 de junio; sin embargo, el o los atacantes reanudaron su campaña al siguiente día, esa vez difundiendo una versión mejorada del malware Lucifer, y logrando causar estragos.
De acuerdo con la publicación de Palo Alto Networks, la campaña del malware Lucifer aún se encontraba activa al momento de informar de su descubrimiento: «La muestra se compiló el jueves 11 de junio de 2020 10:39:47 PM UTC y fue capturada por el firewall de próxima generación de Palo Alto Networks. Al momento de escribir, la campaña aún está en curso», sentenciaron.
Desde la Unidad 42 indicaron que los parches para las vulnerabilidades que aprovechan los ciberatacantes para infiltrar el malware Lucifer «están fácilmente disponibles» y aseguraron que «los firewalls de próxima generación de Palo Alto Networks pueden detectar y bloquear todos los intentos de explotación de este tipo de familia de malware».
En cuanto al nombre de este malware, los expertos de ciberseguridad de la Unidad 42 fueron quienes lo nombraron así; los investigadores ampliaron que el creador de este software malicioso lo nombró Satan DDoS, pero como ya existe un ransomware con el nombre de Satan, «se le dio un alias alternativo a este malware para evitar confusiones».
De forma similar, Palo Alto Networks detectó recientemente que piratas informáticos estaban usando repositorios de imágenes Docker para distribuir mineros maliciosos de Monero. Estos expertos en ciberseguridad detectaron una cuenta maliciosa en el repositorio público en nube Docker Hub, que contenía ocho repositorios con seis imágenes Docker, cuyo objetivo era la extracción maliciosa de XMR.
Los investigadores señalaron que la cuenta maliciosa, llamada azurenql, estaba activa desde octubre del año pasado, y lograron identificar una dirección de Monero de los ciberatacantes, la cual recibió más de 525 XMR, equivalentes a unos 36 mil dólares.
Criptojacking: otros casos recientes
El criptojacking, o la minería de criptomonedas maliciosa, es una modalidad de malware que se esconde en los dispositivos que infecta y aprovecha sus recursos informáticos para la extracción de criptomonedas de proyectos como Monero y Bitcoin. Cabe destacar que el criptojacking es una amenaza emergente tanto para computadoras como para dispositivos móviles.
Al igual que otras variedades de malware, el objetivo del criptojacking es el beneficio económico del atacante; sin embargo, el criptojacking se diferencia de otras formas de malware en que está diseñado para pasar desapercibido, operando de forma oculta, según explica Malwarebytes Labs.
A mediados de mayo se conoció que más de diez supercomputadoras de universidades y centros de computación de diferentes países de Europa (Reino Unido, Alemania, Suiza y España) fueron infectadas con un malware de criptojacking o minería de criptomonedas maliciosa, específicamente de Monero.
Según reportó ZDNet, en total fueron catorce supercomputadoras las afectadas con criptojacking. Cabe destacar que la gran mayoría de los sistemas infectados con un malware de minería de Monero estaban siendo utilizados para el desarrollo de investigaciones relacionadas con el COVID-19, y se detuvieron para investigar los eventos cibernéticos.
Un ejemplo de cómo puede afectar el criptojacking a las máquinas de sus víctimas y a las víctimas propiamente, es el caso del joven británico Abdelrhman Badr, quien sufrió quemaduras en una de sus manos luego de que su computador se sobrecalentara por las operaciones ocultas de un malware de minería de criptomonedas de Monero.
Imagen destacada por Noshad Ahmed / pixabay.com
