El cryptojacking está desatado y ya cuentan con más de 30.000 nodos de minería de criptomonedas trabajando para ellos

A través de un informe publicado el pasado 18 de julio, por Tom Hegel de SentinelOne, empresa de ciberseguridad con sede en California, se conoció que un grupo de criptominería se ha expandido y ya abarca hasta 30.000 hosts infectados en todo el mundo. Se trata de ‘8220 Gang’, una potente banda de crimeware que perturba hosts en la nube para operar una red de bots y mineros de criptomonedas a través de ciertas vulnerabilidades.

Este ataque perpetrado por la pandilla de software malicioso también conocida como ‘8220 Mining Group’, se vale del uso de Linux, las vulnerabilidades más comunes de las apps en la nube y las configuraciones poco seguras para servicios como Redis, Apache WebLogic y Docker. Así, la banda de ciberdelincuentes ha logrado utilizar su última botnet IRC para infectar más de 30.000 víctimas con su criptominero PwnRig.

Las pandillas de cryptojacking ya han infectado a más de 30.000 nodos de minería

Amenaza emergente que emplea los recursos de la máquina para extraer diversas formas de monedas digitales, de manera fraudulenta y oculta, sin que el usuario pueda sospechar de ello. Según Mike Fey, presidente y director de Operaciones de Symantec, empresa de software y servicios de ciberseguridad, los atacantes cibernéticos han agregado el cryptojacking a su arsenal por el gran incentivo económico que posee.

Uno de los grupos que ha ganado fama en torno a esta práctica maliciosa, durante los últimos años, es ‘8220 Gang’ u ‘8220 Mining Group’. Este hace referencia a una pandilla que fue informada públicamente desde 2018 y ha evolucionado con el tiempo. La cual, fue reconocida por Talos, quien detectó que consiste en una banda de amenazas de habla china, tras descubrir la infraestructura y los detalles de su repositorio de GitHub.

Las víctimas potenciales de ‘8220 Gang’ son usuarios de redes en la nube que opera aplicaciones y/o servicios Linux vulnerables o configurados con errores. Estas son identificadas por su acceso a Internet, no geográficamente.

Ahora bien, por medio de un informe publicado por Tom Hegel de SentinelOne, se ha hecho eco sobre ‘82020 Gang’ desde el pasado 18 de julio. En el dictamen, hacen referencia a un reciente ataque liderado por dicho grupo, el cual utiliza una nueva versión de la red de bots IRC, el minero de criptomonedas PwnRig y su secuencia de comandos de infección genérica, para infectar hosts en la nube y operar una red de bots mineros a través de las latentes vulnerabilidades y vectores de infección de fuerza bruta de acceso remoto.

El criptominero PwnRig está basado en el minero Monero de código abierto XMRig y utiliza un subdominio falso del FBI con una dirección IP “legitima” del Gobierno Federal de Brasil, para ocultar el destino real del dinero producido.

Más allá de ejecutar el criptominero PwnRig, el script de infección “8220 Cloud Botnet” está diseñado para eliminar las herramientas de seguridad en la nube y actuar como el código principal para que funcione la botnet.

Con esto, lleva a cabo la fuerza bruta SSH por medio de una lista de 450 credenciales codificadas, mediante un archivo separado al que llaman “Spirit” y fue actualizado a finales de junio, para propagarse a través de la red lateralmente y ganar más efectividad a la hora de infectar objetivos. Dicha lista, incluye combinaciones del nombre de usuario raíz y las contraseñas de aplicaciones o dispositivos Linux predeterminados.

También se detectó que el mismo script ha sido reutilizado por muchos aficionados de minería de criptomonedas e individuos con fines de lucro, desde 2020.

Todo esto, le ha permitido a ‘8220 Mining Group’ desarrollar sus ataques lenta y efectivamente, para expandir una red de bots y un minero de criptomonedas ilícito. Como consecuencia, durante las últimas semanas, han logrado propagar la distribución del botnet a casi 30.000 nodos de minería de criptomonedas, lo cual afectó a casi 30.000 víctimas en todo el mundo.

Estos resultados han alertado a muchas compañías de seguridad cibernética, en especial, a SentinelOne que lideró la investigación. Puesto que, a mediados de 2021, se detectó que el botnet operaba con 2.000 hosts a nivel global, aproximadamente. Sin embargo, en sólo un año, el número de botnets se elevó en un 1500%, es decir, de manera excesiva.

En resumen: PwnRig, IRC Botnet y el script de infección genérico, son muy simples de persuadir y suelen ser utilizados por los grupos objetivo, de forma oportunista.

¿Cuánto dinero podrían ganar con todos estos nodos “secuestrados”?

Si bien, la principal misión de quienes ejecutan ataques de cryptojacking, es lucrarse de las monedas digitales que se emplean en la actualidad. Lo que significa que, casi siempre, sus aspiraciones van de la mano con ciertos objetivos económicos que se sintetizan en altas sumas de dinero. Ante ello, la principal duda de las victimas y del público en general, radica en qué cantidad de dinero podrían ganar las bandas de crimeware con los nodos que optan por secuestrar.

Pues bien, en el caso de ‘8220 Gang’, su más reciente ataque les permitió retener 30.000 nodos de criptominería y, aunado a esto, se hallan los 2.000 nodos que habían reunido hasta 2021. En total, cuentan con 32.000 nodos en su poder y esto supone una cantidad de dinero sorprendente.

Por ejemplo, en el caso del BTC, con un rig se puede obtener hasta 7€ diarios y si la banda cuenta con 32.000, significa que reúne 224.000€ cada día y de esta sola criptomoneda. Así, en un mes, podría acumular casi 7M€ y en un año, alcanzar más de 83M€.

Por otro lado, respecto al ETH, por cada nodo propio en local con 32 Ethereum en staking, se producen alrededor de 5€ al día. De forma que, con 32.000 nodos de esta criptomoneda, se pueden ganar 160.000€ en 24 horas, más de 4M€ en un mes y alrededor de 60M€ en el año.

Todo esto permite evidenciar que, las millonarias cantidades de dinero que reúnen los grupos de crimeware a través del secuestro de nodos de criptominería, en la actualidad, es indescriptible. Puesto que, se enfocan en acaparar una gran cantidad de hosts para infectarlos y tenerlos en su poder, ya que los actores del cryptojacking se ven obligados a ampliar sus operaciones para así mantener las mismas ganancias. Si no apuntan a muchas víctimas en un solo ataque, podrían perder dinero en lugar de ganar.

Dejaron el ransomware para dedicarse al cryptojacking

Desde principios de julio, se anunció que las pandillas de atacantes cibernéticos han decidido apartarse del ransomware y dejarán de raptar los datos de los internautas, para dedicarse al cryptojacking. Puesto que, se confirmó que AstraLocker, un peligroso malware que realizaba ataques de ransomware, ha decidido clausurar sus operaciones para centrar sus esfuerzos en cryptojacking, por su vinculación con criptomonedas.

Recordemos que, 2017 fue el año en el que el término “ransomware” gano más popularidad y dejó de ser reservado por su gran relevancia mediática. Tras ataques como “WannaCry”, esta practica se convirtió en una de las peores ciberamenazas del momento. De manera que, muchos internautas tuvieron que luchar en contra de dañinos programas que restringen el acceso a determinadas partes del sistema operativo para secuestrar sus datos y pedir dinero, en forma de rescate, para así anular dicha restricción.

Sin embargo, el panorama de los ataques en Internet, cambio por completo después de 2018. Desde entonces, se dio inicio al “año del cryptojacking”, ya que muchas bandas de crimeware descubrieron la perla que había detrás de esto, por lo que iniciaron sus ataques al aprovechar parte del poder de procesamiento de un equipo y minar criptomonedas de forma encubierta, sin que la víctima tenga sospechas de ello.

No obstante, esta tendencia se ha desarrollado mucho más entre 2021 y 2022. Puesto que, la evidente persecución contra el ransomware por parte de los entes competentes, ha espantado a los ciberdelincuentes. Con el tiempo, son más los métodos que emplean los gobiernos para protegerse de estos ataques y resguardar a la población. Gracias a ello, dicho tipo de amenazas se han atenuado en territorios como Estados Unidos, Alemania y Rusia, por ejemplo.

Ante la problemática, las bandas de cibercriminales se vieron en la necesidad de recurrir a otro tipo de ataques para alcanzar sus cometidos. Entre tantas opciones, encontraron que la criptominería maliciosa es una de las prácticas más efectivas, hoy en día. Dado que, a diferencia de lo que ejecutaban con ransomware, pueden aprovecharse de la potencia del sistema operativo para acumular dinero, sin que nadie lo sospeche. Con ello, además de convertirse en su solución para dejar de ser perseguidos, también se transformó en una alternativa millonaria.

Por tal razón, el número de ataques de cryptojacking ha aumentado en más de un 4.000% entre 2018 y 2022, sobre todo en el ámbito de la Administración Pública. Por ejemplo, más del 59% de las empresas de Reino Unido se han visto afectadas por este tipo de crimen digital. Según alertan los investigadores, se trata de una práctica ilegitima que seguirá en evolución, pues las bandas se valen de las nuevas tecnologías para implementar estos ataques con mayor frecuencia y captar más dinero día a día.

En el mismo periodo, entre 2018 y 2022, mientras las prácticas de cryptojacking se elevaron, los casos de ransomware experimentaron una caída del 5% a nivel global.