Puntos importantes:
- El equipo de inteligencia de amenazas de Microsoft advirtió sobre mineros maliciosos de la criptomoneda Monero utilizados por un grupo de piratas informáticos, identificado como BISMUTH.
- Entre julio y agosto de este año, se detectaron campañas de BISMUTH con cryptojacking de Monero, dirigidas a instituciones gubernamentales y del sector privado en Francia y Vietnam.
El Centro de inteligencia de amenazas de Microsoft (MSTIC) emitió una advertencia acerca de programas de minería maliciosa de Monero, que están siendo utilizados para encubrir “actividades más nefastas” perpetradas por el grupo de piratas informáticos BISMUTH. Así lo dio a conocer el equipo de inteligencia de amenazas de Microsoft 365 Defender, en un informe publicado el pasado 30 de noviembre.
De acuerdo con Microsoft, el cryptojacking les permitió a los ciberatacantes de BISMUTH ocultar otras actividades aún más dañinas, al usar la minería maliciosa de Monero como carnada, ya que estas pueden ser detectadas como malware de consumo; es decir, como actividades menos alarmantes, según reportó la compañía estadounidense.
Microsoft explicó que “campañas recientes del actor del estado-nación BISMUTH aprovechan las alertas de baja prioridad que provocan los mineros de monedas para intentar volar bajo el radar y establecer la persistencia”.
Microsoft reportó que los ciberatacantes están dirigiendo sus campañas a diversos tipos de organizaciones, y que el software de minería maliciosa de Monero permite que peores amenazas de BISMUTH puedan “esconderse a plena vista“. De acuerdo con Microsoft, los ciberatacantes que operan BISMUTH desplegaron software de minería maliciosa de Monero en ataques que iban a dirigidos tanto a instituciones gubernamentales como al sector privado en Francia y Vietnam, en campañas detectadas entre julio y agosto de este año.
“La actividad de BISMUTH observada en Vietnam se dirigió a organizaciones que incluían antiguas empresas estatales anteriormente operadas por el gobierno de Vietnam, entidades que han adquirido una parte significativa de una antigua empresa pública y entidades que realizan transacciones con una agencia gubernamental vietnamita. Aunque los objetivos específicos del grupo para estos ataques recientes no se pueden definir con mucha confianza, las actividades pasadas de BISMUTH han incluido operaciones en apoyo de objetivos de espionaje más amplios”.
Microsoft.
Microsoft escribió que si algún aprendizaje ha quedado de los troyanos bancarios más elementales es que traen consigo ransom malware o malware de rescate operado por ciberdelincuentes: “sabemos que las infecciones comunes de malware pueden ser indicadores de ciberataques más sofisticados y deben tratarse con urgencia e investigarse y resolverse de manera integral“, sentenció el gigante tecnológico.
Asimismo, la multinacional tecnológica reportó que la detección de uso de mineros de criptomonedas maliciosos de parte de BISMUTH fue algo que no se esperaban, pero que se trataba de un movimiento coherente con los métodos anteriormente utilizados por los operadores de BISMUTH.
Un bostezo del ataque
La multinacional con sede en Estados Unidos detalló que este nuevo ataque a través de cryptojacking tiene una estructura semejante al patrón de mezcla de BISMUTH, incluso desde la etapa más temprana, partiendo de correos electrónicos con phishing, los cuales son desplegados con diseños específicos según la organización blanco de ataque, con el objetivo de crear credibilidad ante el objetivo y, de esa forma, lograr que abran los archivos maliciosos e inicien la cadena de infección en las redes informáticas.
Microsoft detalló que los operadores de BISMUTH empezaron los ataques con correos electrónicos creados de una cuenta Gmail, de la cual presumen que sólo fue creada con ese fin, y que usaron líneas de asuntos y temas personalizados de acuerdo con la función laboral de los objetivos individuales elegidos.
En esos ataques, los operadores de BISMUTH instalaron software de minería maliciosa de la criptomoneda de Monero (XMR). Según Microsoft, “cada minero de monedas que desplegaron tenía una dirección de billetera única que ganó más de mil dólares estadounidenses combinados durante los ataques“.
Recientemente, la firma de ciberseguridad ESET reportó que, durante el tercer trimestre del año en curso, detectaron campañas de cryptojacking en América Latina, en donde destacó la presencia de campañas con los softwares Win/AutoHK y Win/CoinMiner. En su más reciente informe de amenazas, ESET develó que entre julio y septiembre se duplicaron las campañas de AutoHK con respecto al trimestre anterior; mientras que WinCoinMiner bajó en esa proporción, en contraste con la actividad del periodo previo.
Imagen destacada por Pete Linforth/ pixabay.com