Nueva campa帽a utiliza exploits de la NSA para miner铆a de Monero

Una nueva campa帽a, denominada Zealot, ataca servidores Windows y Linux mediante un surtido de exploits que hacen posible la miner铆a de la criptomoneda Monero.

La campa帽a sido detectada por F5 Networks, que la ha denominado Zealot, debido a zealot.zip, uno de los archivos malignos unidos a los servidores objeto de los ataques. Seg煤n se indica, el ataque ha sido posible mediante el mismo exploit utilizado en el hack de Equifax.

Los investigadores Maxim Zavodchik y Liron Segal, de F5 Networks, los atacantes escanean Internet en busca de servidores vulnerables; es decir, no parcheados, utilizando dos exploits, CVE-2017-5638 y CVE-2017-9822, para Apache Struts y DotNetNuke ASP.NET CMS, respectivamente.

La vulnerabilidad de Apache Struts es la misma que otros atacantes utilizaron en meses pasados para vulnerar los sistemas de gigante financiero estadounidense Equifax. Paralelamente, otro grupo de delincuentes utiliz贸 la misma vulnerabilidad en abril para atacar servidores Struts, donde instalaron ransomware.

Al encontrar un servidor Windows vulnerable, los atacantes instalan EternalBlue y EternalSynergy, dos exploits de la NSA filtrados a Internet por el grupo autodenominado Shadow Brokers. En algunos casos, tambi茅n utilizaron PowerShell de Windows para descargar e instalar una aplicaci贸n de malware utilizada para la miner铆a de Monero.

Los investigadores de F5 recalcan que los atacantes pudieron haber utilizado la 煤ltima etapa del proceso; es decir, la instalaci贸n de malware, para instalar a su antojo virus y troyanos, aparte de ransomware. Cabe se帽alar que los atacantes s贸lo descargaron US$8500 en algunos monederos dispersos, lo que lleva a preguntarse si acaso el objetivo era m谩s bien probar un concepto de ataque, en el lugar de procurar un bot铆n econ贸mico. Esta perspectiva se ve refrendada por los expertos Zavodchik y Segal, quienes comentaron: “el nivel de sofisticaci贸n que hemos visto en la campa帽a Zealot nos lleva a creer que esta fue desarrollada y ejecutada por actores con conocimientos muy superiores a los de quienes normalmente operan botnets”. Con ellos se refer铆an a la capacidad de instalar y activar una cadena de infecci贸n de varios niveles, para luego instalar malware avanzado y especialmente adaptado, y finalmente la capacidad de desplazarse lateralmente entre distintas capas de una red.

Ilustraci贸n (c) Carsten Reisinger v铆a Shutterstock

Herramienta de la NSA puede afectar versiones m谩s recientes de Windows

Para la NSA, EternalBlue equival铆a a pescar con dinamita

Centenar de pa铆ses afectados por ransomware habilitado por la NSA


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.