Monero [XMR]: regresa grupo especializado en minar ilegalmente
En 2018 ocurrió un ataque de malware llamado MassMiner, dirigido a Monero [XMR], por parte de una organización criminal conocida como Panda. Hoy, ha resurgido.
Haciendo uso de herramientas de acceso remoto (RAT) y otros malwares de cripto-minería para acceder y explotar computadoras vulnerables para minar criptomonedas, la metodología del grupo Panda no se consideraba una de las más sofisticadas.
Sin embargo, ahora ha actualizado su infraestructura para explotar nuevas vulnerabilidades de seguridad con el tiempo.
Según un estudio realizado por el equipo de investigación de Talos de Cisco, su último ataque ocurrió agosto de 2019. Los investigadores de la firma, Christopher Evans y David Liebenberg, declararon:
«La voluntad de Panda de explotar de manera persistente las aplicaciones web vulnerables en todo el mundo, sus herramientas que les permiten atravesar las redes y su uso de RAT significa que las organizaciones en todo el mundo corren el riesgo de que sus recursos del sistema se usen incorrectamente para fines mineros o algo peor, como la filtración de información valiosa».
Se sabe que el grupo explota organizaciones en banca, atención médica, transporte y servicios de TI, obteniendo alrededor de $100,000 dólares en Monero a partir de ahora.
La investigación también encontró que el grupo Panda usa las mismas hazañas que Shadow Broker, un grupo infame por publicar información de la Agencia de Seguridad Nacional.
Lentos pero seguros
El grupo Panda quedó fuera del radar debido a su campaña «MassMiner» en 2018, donde utilizó MassScan, un malware utilizado para escanear puertos y encontrar las diversas vulnerabilidades en los servidores para explotar.
Los investigadores de Talco dijeron que, a pesar de que el grupo de amenazas ha actualizado su carga útil varias veces junto con la selección de nuevos objetivos de vulnerabilidad, ha hecho poco para cambiar sus tácticas. Evans explicó:
«Intentan ocultar a sus mineros utilizando exactamente las mismas técnicas populares que vemos con otros grupos. Su infraestructura es predecible: generalmente puedo vincular un nuevo dominio Panda tan pronto como lo veo en los datos; tienden a ser sólo iteraciones el uno del otro».
Evans también sugirió varias formas de detectar la actividad minera en la computadora personal:
«Si está ejecutando un servidor WebLogic accesible desde la web que no ha sido parcheado contra vulnerabilidades como CVE-2017-10271, es probable que al menos hayan apuntado al sistema para su explotación, si no lo han dejado caer en un minero. Además, si no necesitas abierto el Internet, quítalo».