Investigadores han descubierto lo que podría ser una de las operaciones de extracción maliciosa de moneda más grandes de la historia, con más de $3 millones en monedas digitales. Ahora, los operadores se están preparando para conseguir más.

Los delincuentes desconocidos generaron la ganancia inesperada en los últimos 18 meses. La campaña se ha aprovechado principalmente de vulnerabilidades críticas en computadoras con Windows y luego, una vez que obtuvieron el control sobre ellas, instalaron una versión modificada de XMRig, una aplicación de código abierto que extrae la moneda digital conocida como Monero. Si bien el grupo ha utilizado una variedad de servicios de minería, ha seguido tirando los ingresos en una sola billetera. A partir de la semana pasada, la billetera había recibido pagos de casi 10.829 Monero, que, a las valoraciones actuales, valen más de $ 3.4 millones. 

"El perpetrador, supuestamente de origen chino, ha estado ejecutando el minero XMRig en muchas versiones de Windows y ya le ha asegurado más de $3 millones en criptomonedas Monero", escribieron en un blog de investigadores de la firma de seguridad Check Point. "Como si eso no fuera suficiente, ahora ha mejorado su juego al apuntar al poderoso servidor de Jenkins CI, dándole la capacidad de generar aún más monedas".

El servidor Jenkins Continuous Integration es un software de código abierto escrito en Java para implementar y automatizar todo tipo de tareas. Con más de 1 millón de usuarios, es uno de los servidores de automatización de código abierto más utilizados. En enero, el investigador independiente Mikail Tunç estimó que hasta el 20 por ciento de los servidores de Jenkins están mal configurados de manera que hacen posibles los ataques graves. Los compromisos causan un rendimiento más lento y posibles fallas de denegación de servicio en máquinas comprometidas.

La nueva oleada de secuestros funciona explotando el CVE-2017-1000353, una vulnerabilidad en la implementación de deserialización de Jenkins que surge de una falla al validar objetos serializados. Como resultado, cualquier objeto serializado puede ser aceptado por sistemas vulnerables. Los responsbles de Jenkins corrigieron el error la semana pasada con el lanzamiento de la versión 2.54.

Por separado, los investigadores de la firma de seguridad FireEye dijeron que los atacantes, presumiblemente sin relación con lo reportado por Check Point, están explotando sistemas sin parches que ejecutan el Servidor WebLogic de Oracle para instalar malware de minería de datos criptográficos. Oracle parchó la vulnerabilidad, indexada como CVE-2017-10271, en octubre.

Los atacantes observados por Check Point combinan el minero XMRig con un troyano de acceso remoto. Su minero se ejecuta en una variedad de plataformas, aunque la mayoría de las víctimas hasta ahora parecen ser usuarios de computadoras personales. El malware se somete a actualizaciones periódicas. La operación, y otras similares, no muestra signos de desaceleración o desaparición en el corto plazo.

"A pesar del hecho de que algunas criptomonedas han bajado su valor durante el mes pasado, siguen siendo un activo valioso y definitivamente lo suficientemente valioso para que este actor de amenazas 'actualice' su capacidad de explotar a otros para explotarlos", escribieron los investigadores de Check Point en un blog separado. "¡Seguro que no pasará mucho tiempo antes de que haya asegurado su próximo millón de ilícitos!"

Artículos relacionados:

• Millones de dispositivos Android son forzados a minar la criptomoneda Monero
• SpriteCoin finge ser criptomoneda pero en realidad distribuye ransomware
• CoffeeMiner obliga a los usuarios de wifi públicas a minar Monero