La firma de ciberseguridad SophosLabs ha rastreado MrbMiner, un nuevo virus de criptojacking que apunta principalmente a potentes servidores de bases de datos, hasta una pequeña empresa de software en Irán, según un informe publicado ayer.
“MrbMiner es un criptominer descubierto recientemente que se enfoca en servidores de bases de datos de Internet (servidores SQL) y descarga e instala un criptominer. Los servidores de bases de datos son un objetivo atractivo para los criptojackers porque se utilizan para actividades que requieren muchos recursos y, por lo tanto, tienen una poderosa capacidad de procesamiento ”, dijeron los investigadores.
NUEVO en MrbMiner: Cryptojacking para eludir las sanciones internacionales
La operación de criptojacking de «inicio de garaje» con sede en Irán apunta a servidores SQL …
1/13 pic.twitter.com/WrSeilb2vT
– SophosLabs (@SophosLabs) 21 de enero de 2021
Minería furtiva
Los cryptojackers, también llamados cryptominers maliciosos, son un tipo de malware que usa sistemas infectados para minar criptomonedas de manera sigilosa y enviarlas de vuelta a los atacantes. Si bien estos programas pueden no considerarse tan dañinos o malignos como el ransomware, por ejemplo, aún pueden tener una serie de efectos perjudiciales, como graves caídas en el rendimiento.
Esta es la razón por la que los servidores de bases de datos, que «se encuentran en el lado más sólido de la escala de rendimiento», fueron el objetivo específico.
El informe también afirmó que los desarrolladores de MrbMiner podrían estar utilizando un ataque de este tipo para eludir las sanciones financieras internacionales impuestas actualmente al país.
«Las personas que viven en países que están bajo estrictas sanciones financieras internacionales, como Irán, pueden aprovechar la criptomoneda para eludir el sistema bancario tradicional», supuso el informe.
La precaución fue lanzada al viento
Al mismo tiempo, resultó que los operadores de MrbMiner ni siquiera intentaron ocultar su identidad, dejando efectivamente su «dirección de casa» justo en el medio de su código. Por ejemplo, el nombre de una empresa de software con sede en Irán estaba codificado en el propio archivo de configuración principal del minero, descubrieron los investigadores.
“En muchos sentidos, las operaciones de MrbMiner parecen típicas de la mayoría de los ataques de criptomineros que hemos visto dirigidos a servidores conectados a Internet. La diferencia aquí es que el atacante parece haber echado a perder la precaución cuando se trata de ocultar su identidad ”, dijo Gabor Szappanos, director de investigación de amenazas de SophosLabs.
Una de las razones por las que los ataques de minería de criptomonedas son frustrantes es que es difícil aprovechar la aplicación de la ley para abordar el problema. La fuente de los mineros y el destino del valor de la criptomoneda cosechado suelen ser anónimos. El creador de MrbMiner puede ser más fácil de determinar. 13/12
– SophosLabs (@SophosLabs) 21 de enero de 2021
Explicó que los datos de configuración de MrbMiner incluso incluyen nombres de dominio y direcciones IP que «señalan» a una sola entidad: la firma iraní antes mencionada.
“Cuando vemos dominios web que pertenecen a una empresa legítima implicada en un ataque, es mucho más común que los atacantes simplemente se aprovechen de un sitio web para (temporalmente, en la mayoría de los casos) utilizar sus capacidades de alojamiento web para crear un ‘punto muerto’ donde pueden alojar la carga útil del malware «, señalaron los investigadores, y agregaron:» Pero en este caso, el propietario del dominio está implicado en la propagación del malware «.
Como CryptoSlate informó en octubre, otro grupo de piratas informáticos ha robado al menos $ 22 millones en Bitcoin de los usuarios de la billetera Electrum mediante el envío de actualizaciones falsas.
Los piratas informáticos iraníes posteriores usan cryptojacker para eludir las sanciones, dice que el informe apareció primero en CryptoSlate.
Post Original de: CryptoSlate
