Minería involuntaria: cómo los piratas informáticos convirtieron las redes de ISP en sus granjas criptográficas
El ataque furtivo afectó a miles de redes, dejando a los operadores de telecomunicaciones sin control.
Los proveedores de servicios de Internet en China y en la costa oeste de EE. UU. fueron víctimas de una campaña a gran escala de explotación de vulnerabilidades, durante la cual los atacantes instalaron programas maliciosos en los sistemas comprometidos para robar datos, así como mineros de criptomonedas.
Investigadores de la empresa Splunk informaron que el ataque también condujo a la descarga de varios archivos binarios diseñados para el robo de datos y para mantener la presencia en los sistemas infectados. Según los expertos, los atacantes actuaron de manera sigilosa, salvo por algunos artefactos dejados en cuentas ya comprometidas.
Los hackers utilizaron lenguajes de scripting como Python y PowerShell, lo que les permitió operar en entornos restringidos y emplear solicitudes API, por ejemplo, a través de Telegram, para gestionar los sistemas infectados. Obtuvieron acceso inicial mediante ataques de fuerza bruta contra credenciales débiles. Según el análisis, las fuentes de los ataques se encontraban en Europa del Este. En total, más de 4000 direcciones IP de proveedores de Internet fueron atacadas.
Una vez dentro de la red, los atacantes cargaban archivos ejecutables a través de PowerShell para realizar escaneos de red, robar información y ejecutar XMRig, una herramienta de minería de criptomonedas que utiliza los recursos computacionales de las víctimas. Antes de desplegar la carga útil principal, los ciberdelincuentes desactivaban las funciones de seguridad y finalizaban procesos relacionados con la detección de criptomineros.
Además de recopilar datos y robar capturas de pantalla, el malware funcionaba de manera similar a un "clipper", monitoreando el contenido del portapapeles en busca de direcciones de billeteras de criptomonedas. Entre las monedas objetivo se encontraban Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) y TRON (TRX).
Los datos obtenidos se transmitían a un bot de Telegram. También se cargaba en las máquinas infectadas un archivo binario que activaba cargas útiles adicionales. Entre ellas, se encontraba "Auto.exe", que descargaba listas de contraseñas ("pass.txt") y direcciones IP ("ip.txt") para nuevos ataques de fuerza bruta, así como "Masscan.exe", una herramienta para escaneo masivo de redes.
Los atacantes centraron sus ataques en rangos específicos de direcciones IP (CIDR) de proveedores de Internet ubicados en China y en la costa oeste de EE. UU. La herramienta Masscan utilizada les permitió escanear una gran cantidad de direcciones IP, identificar puertos abiertos y lanzar ataques de fuerza bruta contra cuentas de usuario.
¿Estás cansado de que Internet sepa todo sobre ti?