Si una conclusión puede extraerse de los ataques perpetuados por los ciberdelincuentes durante el pasado años es que éstos se han vuelto más precisos y sofisticados. El volumen de malware aumento en un 2% en su tasa interanual a nivel mundial, siendo los ataques de malware de IoT (en el 87%) y de crytojacking (en el 43%) los que más crecieron e incluso provocaron la reducción de los volúmenes de ransomware en un 21%.
Todo ello denota un cambio de enfoque entre los cibercriminales que optan por enfoques más lentos y mejor camuflados para llevar a cabo sus ataques con fines lucrativos. Según indica la última investigación formulada por Top10VPN, la media de incidentes de crytojacking fue de 15,02 millones mensuales, unas cifras muy por encima de los 8,09 millones mensuales registrados durante 2021. Todo ello implica un aumento del 86%.
Ante esta situación, TEHTRIS consolida su red de honeypots en todo el mundo, equipados con la tecnología XDR más eficiente, para conseguir atraer a los ciberdelincuentes, recopilar información sobre cómo navegan por las redes y servidores y detectar qué nuevas modalidades están llevado a cabo relacionadas con la minería de criptomonedas o cryptojacking. Además, todos y cada uno de esos ataques sobre sistemas operativos basados en Linux.
Pedro Morcillo, Country Manager de TEHTRIS para España, asegura que la última campaña analizada por la compañía demuestra que los ciberatacantes abusan de las credenciales por defecto y de aplicaciones de mensajería como Discord o Telegram. Resulta fundamental, según señala, revisar las conexiones a dichos servicios y evitar que sirvan como puente a futuros ataques de crytojacking o de otra índole.
El ataque epicentro del estudio
La última investigación formulada por TEHTRIS en este sentido fue en Francia a mediados de enero. En aquella ocasión, vio como el grupo cibercriminal que estaba tras el cryptojacking empleó dos estrategias diferentes para garantizar el acceso al sistema Linux comprometido.
En primer lugar, si la máquina cuenta con más de cuatro núcleos de capacidad, despliega un bot que realiza el cryptojacking y lanza un minero para aprovechar la CPU y desde ahí infectar otras máquinas. No obstante, si la máquina no contase con suficiente capacidad para atacar a las criptomonedas, el atacante se valdría de ella como rebote para recopilar información clave sobre otros objetos potenciales.
El atacante se valió de un servidor de la aplicación de mensajería Discord para recuperar datos de las máquinas comprometidas, buscando así brechas de seguridad mediante aplicaciones populares de este tipo. De este modo, el hacker puede diluir la fase de exploración entre otras máquinas y direcciones IP, dificultando seriamente el rastreo hasta llegar a la fuente original del ataque.
El potencial atacante
El actor de esta amenaza se autodenomina como ElPatrono1337, siendo ese 1337 la firma de la amenaza. Desde TEHTRIS se bautizó a la campaña como Color1337. Los Bash scripts que se analizaron contenían comandos escritos en rumano, lo que permitió a los investigadores conocer la región de procedencia del actor.
A esto se le suma que DIICOT (nombre otorgado al minero que fue visto por primera vez en octubre de 2022) es el acrónimo de la agencia rumana de crimen organizado, ciberdelincuencia y terrorismo.
En esta misma línea, los expertos de TEHTRIS han identificado similitudes con un grupo rumano que estuvo detrás de una campaña de cryptojacking rastreada por BitDefender en 2021. Podrían estar relacionados, pues el script ‘Update’ hace referencia a un archivo con el mismo nombre y con un vínculo previamente establecido con Rumanía, lo que denotaría que el mismo grupo estaría tras el ataque.
La diversificación de los ataques
Analizando el Informe de Ciberamenazas 2023 de SonicWall se detecta que 2022 fue el segundo año con mayor número de intentos de ataques de ransomware. Los ciberataques se están volviendo más sofisticados y los ataques se están dirigiendo a entidades más vulnerables como colegios y hospitales. Hay sectores incluso que se han visto especialmente damnificados por el incremento del volumen de ransomware como el educativo (en un 275%), el financiero (en un 41%) y el sanitario (en un 8%).
Europa vio incrementados los niveles de malware en un 10%, aunque en el conjunto de la región de EMEA se redujeron en un 38%. Eso no evitó que los volúmenes de cryptojacking ascendiesen hasta el 549%. Los intentos de intrusión contra la vulnerabilidad de Apache Log4j ‘Log4Shell’ superaron los 1.000 millones en 2022