{"id":3892,"date":"2021-07-24T22:16:29","date_gmt":"2021-07-25T01:16:29","guid":{"rendered":"https:\/\/saeeg.org\/?p=3892"},"modified":"2021-07-24T22:16:36","modified_gmt":"2021-07-25T01:16:36","slug":"cryptojacking-cuidado-con-diicot-brute-hackers-rumanos-tienen-como-objetivo-maquinas-linux-utilizando-contrasenas-debiles","status":"publish","type":"post","link":"https:\/\/saeeg.org\/index.php\/2021\/07\/24\/cryptojacking-cuidado-con-diicot-brute-hackers-rumanos-tienen-como-objetivo-maquinas-linux-utilizando-contrasenas-debiles\/","title":{"rendered":"CRYPTOJACKING: CUIDADO CON DIICOT-BRUTE. HACKERS RUMANOS TIENEN COMO OBJETIVO M\u00c1QUINAS LINUX UTILIZANDO CONTRASE\u00d1AS D\u00c9BILES."},"content":{"rendered":"\n

Marco Crabu*<\/em><\/strong><\/span><\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Cryptojacking: cuidado con Diicot-Brute. Desde hace unos d\u00edas, la noticia ha estado circulando en las revistas comerciales de que una banda de tecnocriminales, muy probablemente de Rumania, ha infectado cientos de ordenadores en todo el mundo en los \u00faltimos meses con el fin de extraer ilegalmente la criptomoneda Monero.<\/span><\/p>\n

Los piratas inform\u00e1ticos incautaron los sistemas inform\u00e1ticos de las v\u00edctimas, en los que \u201cse ejecutaba\u201d el sistema operativo Linux, utilizando una herramienta de \u201cfuerza bruta SSH\u201d llamada \u201cDiicot Brute\u201d para descifrar las contrase\u00f1as d\u00e9biles, y luego instalar el malware \u201cminer\u00eda\u201d en la m\u00e1quina host.<\/strong><\/span><\/p>\n

Este tipo de ataque se llama \u201ccryptojacking\u201d y se caracteriza por el hecho de que el ciberdelincuente utiliza en secreto el poder de computaci\u00f3n de la m\u00e1quina de su v\u00edctima para generar criptomonedas.<\/span><\/p>\n

Esto tambi\u00e9n podr\u00eda parecer un delito de poca importancia, ya que la acci\u00f3n fraudulenta es s\u00f3lo para proporcionar a la v\u00edctima un consumo sustancial de electricidad y recursos inform\u00e1ticos de su m\u00e1quina, pero en cualquier caso esta acci\u00f3n se perpetra a expensas de su voluntad y con el \u00fanico prop\u00f3sito de permitir que el atacante obtenga beneficios para s\u00ed mismo.<\/span><\/p>\n

Pero \u00bfqu\u00e9 es una criptomoneda y qu\u00e9 son las actividades mineras?<\/strong><\/span><\/p>\n

Sin necesidad de entrar en la \u201cprofundidad\u201d en el mundo, a\u00fan poco clara para algunos, de las criptomonedas y sus caracter\u00edsticas, vamos a tratar de hacer un breve resumen.<\/span><\/p>\n\n\n\n

\"\"
Recibo de transacci\u00f3n de moneda virtual<\/em><\/strong><\/figcaption><\/figure><\/div>\n\n\n\n

Una criptomoneda es una moneda digital (de curso legal especialmente en Estados Unidos pero reconocida en muchos pa\u00edses) con la que se pueden comprar bienes y\/o servicios. Con el fin de proteger todas las transacciones realizadas en criptomoneda, se utiliza un \u201clibro mayor\u201d en l\u00ednea, seguro, preciso e inmutable con cifrado avanzado, llamado \u201cblockchain<\/strong>\u201d. Se dice que blockchain es una tecnolog\u00eda \u201cdescentralizada\u201d, es decir, no tiene una dependencia central, como los bancos tradicionales, por ejemplo, pero es la misma comunidad de mineros de criptomonedas (los \u201cmineros\u201d) la que la administra y deposita su confianza en ella, no controlando c\u00f3mo se emite, gasta o equilibra la moneda virtual.<\/span><\/p>\n

En los \u00faltimos a\u00f1os, las criptomonedas han comenzado a proliferar exponencialmente tanto que hoy en d\u00eda hay alrededor de 10.000 \u201cmonedas virtuales<\/strong>\u201d en circulaci\u00f3n \u2014la m\u00e1s conocida es Bitcoin\u2014 y su valor total es de alrededor de 1,3 billones de d\u00f3lares (ligeramente por debajo). Debe quedar claro que la criptomoneda es, sin embargo, una compra altamente especulativa y vol\u00e1til.<\/span><\/p>\n

Los llamados mineros, a trav\u00e9s de un programa instalado en el ordenador, emiten dinero nuevo y lo liberan en un proceso llamado miner\u00eda. Para simplificar la comprensi\u00f3n de su funcionamiento es costumbre compararlo con la famosa actividad de los buscadores de oro del pasado. Ambos mineros son recompensados con un activo que a\u00fan no est\u00e1 en circulaci\u00f3n y cuyo prop\u00f3sito com\u00fan es crear ganancias<\/strong>. Una vez en la luz, el oro se convierte en parte de la econom\u00eda, as\u00ed como el trabajo realizado por el criptominero termina con la colocaci\u00f3n de criptomonedas en el libro mayor blockchain. En ambos casos los actores reciben su recompensa, que vuelve a la circulaci\u00f3n una vez que se vende al p\u00fablico, esto para recuperar los costos operativos.<\/span><\/p>\n

La recompensa del minero en algunos casos depende del tipo de moneda virtual, pero para simplificar se puede generalizar identificando dos incentivos: las tarifas de transacci\u00f3n, es decir, una peque\u00f1a comisi\u00f3n otorgada al minero que agrega la transacci\u00f3n al libro mayor por aquellos que gastan en criptomoneda, y la concesi\u00f3n de bloque \u00fanico que se agrega a la blockchain.<\/span><\/p>\n

\u00bfC\u00f3mo llegaste a descubrir esta actividad maliciosa?<\/strong><\/span><\/p>\n

La campa\u00f1a de cryptojacking fue descubierta recientemente por investigadores de la compa\u00f1\u00eda Bitdefender<\/strong>, l\u00edder mundial en seguridad inform\u00e1tica, que identificaron y describieron en un informe<\/a> las huellas de la actividad maliciosa de la banda criminal, que tiene como prop\u00f3sito no solo la creaci\u00f3n de criptomonedas, sino que tambi\u00e9n es potencialmente capaz de lanzar otros ataques desde las m\u00e1quinas infectadas. Los hackers, de hecho, se han conectado a dos botnets: \u201cChernobyl<\/strong>\u201d (variante de DemonBot basado en Linux) y otra de la matriz \u201cIRC Perl<\/strong>\u201d.<\/span><\/p>\n\n\n\n

\"\"
Fuente: Bitdefender<\/em><\/strong><\/figcaption><\/figure><\/div>\n\n\n\n

Botnet<\/strong> proviene de las palabras robot y red, donde la red es internet, mientras que el bot se refiere a los dispositivos de las v\u00edctimas. La tarea<\/strong> de las botnets es realizar actividades ilegales o maliciosas<\/strong> como el env\u00edo de spam<\/strong>, la exfiltraci\u00f3n de datos<\/strong>, la extorsi\u00f3n a trav\u00e9s de ransomware<\/strong> o DDoS<\/strong> (Distributed Denial of Service, o la capacidad de enviar la m\u00e1quina atacada en picada, creando una interrupci\u00f3n de sus servicios normales). Pero mientras que el ransomware<\/strong> tiene visibilidad inmediata en la m\u00e1quina v\u00edctima, las botnets DDoS se pueden dise\u00f1ar para el control inmediato y total del dispositivo infectado, o para actuar \u201csilenciosamente\u201d o en segundo plano, esperando recibir instrucciones del atacante.<\/span><\/p>\n

Como se anticip\u00f3, las m\u00e1quinas que hab\u00edan sido atacadas eran aquellas con sistemas Linux a bordo que usaban credenciales de protecci\u00f3n \u201cd\u00e9biles\u201d y f\u00e1cilmente expugnables. Pero el elemento novedoso es que el ataque habr\u00eda permitido a los hackers mantener el anonimato completo y sin ser detectados<\/strong> por los diversos honeypots dispersos por la red.<\/span><\/p>\n

En inform\u00e1tica, un honeypot<\/strong> es un sistema o componente de hardware o software que se utiliza como \u201ctrampa<\/strong>\u201d o \u201ccebo<\/strong>\u201d con el fin de proteger los sistemas de los ataques de los hackers (cit. Wikipedia).<\/span><\/p>\n

Pero evidentemente no sucedi\u00f3 exactamente as\u00ed. Los analistas de Bitdefender han podido identificar rastros de actividades maliciosas de sus honeypots, cuyos datos han demostrado que los intentos de descifrar contrase\u00f1as por parte de la herramienta \u201cfuerza bruta\u201d han estado comenzando desde el pasado mes de enero y que los hackers han intentado ocultarlas a trav\u00e9s de l\u00edneas de c\u00f3digo compiladas en \u201cBash\u201d<\/strong>, el shell de Linux m\u00e1s popular.<\/span><\/p>\n\n\n\n

\"\"
Fuente: Bitdefender<\/strong><\/em><\/figcaption><\/figure><\/div>\n\n\n\n

Bash es un shell de texto, o un int\u00e9rprete de comandos, es decir, el componente fundamental que permite al usuario comunicarse con el sistema operativo a trav\u00e9s de una serie de funciones predefinidas, o ejecutar programas y scripts (cit. wikipedia).<\/span><\/p>\n

Sin embargo, parece que las IPs rastreadas pertenecen a un peque\u00f1o grupo de sistemas comprometidos, lo que sugiere que el ataque a\u00fan no es a gran escala.<\/span><\/p>\n

Los analistas tambi\u00e9n notaron que los tecnocriminales usaban \u201cDiscord<\/strong>\u201d, para compartir informaci\u00f3n y transmitir toda una gama de malware, incluidos \u201ctroyanos de acceso remoto (RATs)<\/strong>\u201d, DDoS, varios c\u00f3digos fuente y m\u00e1s.<\/span><\/p>\n

Discord es una plataforma estadounidense de comunicaci\u00f3n y uso compartido, utilizada principalmente por comunidades del gaming<\/strong>, donde los usuarios interact\u00faan entre s\u00ed a trav\u00e9s de llamadas de voz, videollamadas, mensajes de texto, medios y archivos en chats privados o como miembros de un servidor. Esta plataforma se ha vuelto cada vez m\u00e1s utilizada por los tecnocriminales precisamente por sus caracter\u00edsticas que la hacen adecuada para sus fines. De hecho, ya en abril un equipo de Cisco hab\u00eda detectado unos veinte mil virus en esta plataforma.<\/span><\/p>\n

Los ciberpolic\u00edas han estado investigando la amenaza desde el pasado mes de mayo y pronto se encontraron con el cargador \u201c.93joshua<\/strong>\u201d por casualidad, encontrado en un directorio p\u00fablico del servidor con IP \u201chttp:\/\/45.32.112.68\/.sherifu\/.93joshua<\/strong>\u201d. Desde aqu\u00ed se vuelve a su dominio vinculado, o \u201cmexalz.us<\/strong>\u201d, un sitio web gestionado por Rumania, donde tambi\u00e9n se aloja el programa de miner\u00eda especialmente modificado \u201cXMRig\u201d<\/strong> (as\u00ed como un conjunto de otros archivos y varios programas maliciosos), que sirve precisamente para generar la moneda virtual Monero.<\/span><\/p>\n

\u00bfCu\u00e1l fue la estrategia de acci\u00f3n de cryptojacking?<\/strong><\/span><\/p>\n

La estrategia de acci\u00f3n de los hackers se explica brevemente en los siguientes pasos:<\/span><\/p>\n

\u2013 escaneo masivo de la red<\/strong> a trav\u00e9s de herramientas tradicionales pero apropiadas como masscan<\/strong> o zmap<\/strong>. Por medio de estas herramientas, los hackers son capaces de determinar diversa informaci\u00f3n de sus objetivos: estado en l\u00ednea, vulnerabilidades, sistema operativo y servicios, con el fin de encontrar claves p\u00fablicas d\u00e9biles en los diversos registros.<\/span><\/p>\n

\u2013 acceso a las credenciales<\/strong> a trav\u00e9s de herramientas de fuerza bruta \u2014contenidas en los archivos jack.tar.gz y juanito.tar.gz\u2014 incluyendo Diicot-brute, que se utilizan como un verdadero servicio centralizado a trav\u00e9s de API personalizadas. A partir de aqu\u00ed se volvi\u00f3 al hecho de que los atacantes eran de Rumania, ya que la interfaz de la herramienta de fuerza bruta era una mezcla en rumano e ingl\u00e9s.<\/span><\/p>\n

\u2013 acceso inicial<\/strong> a los sistemas<\/strong> de destino con credenciales detectadas y distribuci\u00f3n de carga \u00fatil.<\/span><\/p>\n

Durante el proceso de borrado de las pistas los hackers tambi\u00e9n utilizaron Discord, ya que ofrece la posibilidad de alojar el \u201cservidor de comando y control<\/strong>\u201d y utilizar los \u201cwebhooks<\/strong>\u201d para el env\u00edo de datos.<\/span><\/p>\n

M\u00e1s all\u00e1 del ingenio de los tecnocriminales, la lecci\u00f3n aprendida de este conjunto de eventos es siempre la misma: el elemento humano es el eslab\u00f3n m\u00e1s d\u00e9bil de la cadena, ya que sin duda es posible dificultarles (a los hackers) su vida, simplemente adoptando una serie de precauciones, incluyendo precisamente la elecci\u00f3n y el uso de credenciales adecuadas y respetuosas con los criterios m\u00ednimos de seguridad. En el mundo todav\u00eda hay demasiadas personas que utilizan credenciales que son f\u00e1ciles de adivinar, y esto no solo afecta a los perfiles de redes sociales de usuarios inexpertos, sino tambi\u00e9n a las cuentas de los empleados de las empresas m\u00e1s grandes del mundo y entre estas tambi\u00e9n las definidas como <\/strong>infraestructura cr\u00edtica<\/strong><\/a>.<\/strong><\/span><\/p>\n

\u00a0<\/p>\n

* Licenciado en Ciencias Sociol\u00f3gicas, Facultad de Ciencias Pol\u00edticas de la Universidad de Bolonia. Especialista en Seguridad, Geopol\u00edtica y Defensa.<\/em><\/strong><\/span><\/p>\n

\u00a0<\/p>\n

Art\u00edculo publicado originalmente el 22\/07\/2021 en OFCS.Report – Osservatorio – Focus per la Cultura della Sicurezza, Roma, Italia, <\/em><\/strong>https:\/\/www.ofcs.it\/cyber\/cryptojacking-attenzione-a-diicot-brute\/<\/em><\/strong><\/a><\/span>\u00a0<\/em><\/strong><\/span><\/p>\n

Traducido al espa\u00f1ol por el Equipo de la SAEEG con expresa autorizaci\u00f3n del autor.<\/span> <\/em><\/strong><\/span><\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Marco Crabu* Cryptojacking: cuidado con Diicot-Brute. Desde hace unos d\u00edas, la noticia ha estado circulando en las revistas comerciales de que una banda de tecnocriminales, muy probablemente de Rumania, ha infectado cientos de ordenadores en todo el mundo en los \u00faltimos meses con el fin de extraer ilegalmente la criptomoneda Monero. Los piratas inform\u00e1ticos incautaron … Seguir leyendo CRYPTOJACKING: CUIDADO CON DIICOT-BRUTE. HACKERS RUMANOS TIENEN COMO OBJETIVO M\u00c1QUINAS LINUX UTILIZANDO CONTRASE\u00d1AS D\u00c9BILES.<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1313],"tags":[807,769,1247,1077,1225,234],"class_list":["post-3892","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","tag-ciberataques","tag-ciberseguridad","tag-crimen-organizado","tag-criptomonedas","tag-hacker","tag-informatica"],"_links":{"self":[{"href":"https:\/\/saeeg.org\/index.php\/wp-json\/wp\/v2\/posts\/3892","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/saeeg.org\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/saeeg.org\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/saeeg.org\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/saeeg.org\/index.php\/wp-json\/wp\/v2\/comments?post=3892"}],"version-history":[{"count":0,"href":"https:\/\/saeeg.org\/index.php\/wp-json\/wp\/v2\/posts\/3892\/revisions"}],"wp:attachment":[{"href":"https:\/\/saeeg.org\/index.php\/wp-json\/wp\/v2\/media?parent=3892"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/saeeg.org\/index.php\/wp-json\/wp\/v2\/categories?post=3892"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/saeeg.org\/index.php\/wp-json\/wp\/v2\/tags?post=3892"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}