Puntos Importantes:
- La nueva variante de un virus tipo gusano, de la familia Golang, está atacando servidores vulnerables basados en Linux, infectándolos con malware de minería de Monero.
- El nuevo virus detectado es utilizado para aumentar en un 15% la velocidad del proceso de minería de Monero.
- Este virus es capaz de detener los procesos de memoria administrativos de un CPU, para aprovecharlo en la minería de Monero (XMR).
Recientemente, el equipo de investigación de amenazas de Uptycs, una plataforma de análisis de seguridad nativa en la nube, descubrió una nueva variante de un virus o malware del tipo gusano Golang, el cual está atacando servidores vulnerables basados en Linux o similares (*nix o UNIX) con minería maliciosa de Monero (XMR).
La información fue dada a conocer a través de un reporte publicado por Uptycs en su página web, en la cual indican que esta más reciente forma de cryptojacking de Monero (XMR) no sólo secuestra servidores vulnerables y los usa para extraer criptomonedas, sino que además modifica las configuraciones de CPU para aumentar la velocidad del proceso de minería en un 15%, a costa del rendimiento en otras aplicaciones.
Según el informe de la compañía, los perpetradores usan un gusano basado en Golang para escanear y explotar las vulnerabilidades existentes en servidores como CVE-2020-14882 () y CVE-2017-11610, ,para así obtener acceso a los sistemas Linux que ejecutan Oracle WebLogic o Supervisord.
Una vez que secuestran una máquina, usan registros específicos del modelo (MSR) para deshabilitar la captación previa del hardware para luego instalar el XMRig, un software de minería utilizado para la criptomoneda Monero que es muy utilizado por ciberatacantes.
Explicaron los investigadores que, en los procesadores multinúcleo, el uso de una captación previa de hardware agresiva causa obstáculos y da como resultado una degradación general del rendimiento del sistema. Dicha degradación es un problema para XMRig, ya que este aprovecha la potencia de procesamiento de una máquina para realizar los cálculos complejos a escala necesarios para ganar XMR.
Por lo anterior, el equipo de Uptycs cree que el atacante tuvo la idea de deshabilitar la captación previa de hardware después de leer la documentación de XMRig, donde se afirma que XMRig puede obtener un aumento de velocidad del 15% si la función está deshabilitada. Asimismo, la empresa de análisis de amenazas reportó lo siguiente:
“Con el aumento y la valoración altísima de Bitcoin y varias otras criptomonedas, los ataques basados en la minería de criptomonedas han seguido dominando el panorama de amenazas. Los ataques de criptomineros con gusanos tienen un umbral mayor, ya que escriben varias copias y también se extienden por los puntos finales de una red corporativa. Junto con el proceso de minería, la modificación de los registros de MSR puede conducir a problemas fatales de desempeño de los recursos corporativos”Uptycs.
A principios de diciembre del año pasado, la empresa Intezer habrían descubierto lo que denominaron como “el nuevo gusano Golang”, el cual intentaba propagarse por la red para ejecutar el minero XMRig a gran escala. El malware detectado por el equipo de investigación de amenazas de Uptycs en junio de este año es una variación de dicho virus, que ahora aprovecha las vulnerabilidades en sistemas Linux para aumentar la velocidad del proceso de minería.
Por ello, los investigadores recomiendan mantener los sistemas actualizados y parcheados, ya que esto frustraría este tipo de ataques, en particular debido a que comienzan con la explotación de vulnerabilidades.