Sophos detecta vínculos entre campaña de cryptojacking y empresa iraní

La firma de seguridad cibernética Sophos publicó este 21 de enero que consiguió evidencia entre una compañía de software con sede en la ciudad de Shiraz, Irán, y los operadores de la botnet de minería de criptomonedas maliciosa MrbMiner. Así lo dio a conocer a través de una publicación en su sitio web.

De acuerdo con la compañía de ciberseguridad, esta operación de criptojacking apunta a servidores SQL y está siendo empleada para evadir las sanciones internacionales. El software de minería maliciosa de criptomonedas detectado por Sophos se llama MrbMiner. “Basado en inteligencia de código abierto, el minero parece haber sido creado, alojado y controlado por una pequeña empresa de desarrollo de software con sede en Irán“

“Cuando los administradores de TI desean alojar una base de datos, tienen ciertos requisitos de rendimiento: la capacidad de procesar una gran cantidad de lecturas y escrituras de datos, y suficiente RAM y sobrecarga del procesador para responder rápidamente a las consultas. Como resultado, los servidores que alojan bases de datos se encuentran en el lado más robusto de la escala de rendimiento, por lo que son un objetivo excelente para los atacantes cuyos objetivos incluyen la distribución de mineros de criptomonedas. Las personas que viven en países que están bajo estrictas sanciones financieras internacionales, como Irán, pueden aprovechar las criptomonedas para eludir el sistema bancario tradicional”.

Sophos.

De acuerdo con los investigadores de Sophos, la carga útil del software malicioso MrbMiner incluía un ejecutable de minería maliciosa, bajo el nombre de una actualización del sistema operativo Windows, llamado “Windows Update Service.exe”, para pasar desapercibido. Los profesionales en ciberseguridad determinaron que el ejecutable en cuestión se trataba de una versión modificada del minero XMRig, con el cual se pueden extraer criptomonedas Monero (XMR).

Los investigadores de Sophos reportaron que los operadores de esta campaña no fueron muy precavidos en cuanto a ocultar su identidad: “Muchos de los registros relacionados con la configuración del minero, sus dominios y direcciones IP, apuntan a un único punto de origen: una pequeña empresa de software con sede en Irán“, expuso la firma de ciberseguridad.

Oleadas de ataques posiblemente desde Irán

En noviembre del año pasado, las compañías de seguridad cibernética Check Point Research y Profero detectaron oleadas de ataques de ransomware hacia empresas con sede en Israel, con los softwares maliciosos Pay2Key y WannaScream. Los investigadores presumen que dichos ataques hayan sido planeados desde Irán.

Check Point Research indicó que una cantidad significativa de compañías de Israel fueron blancos de ataques de ransomware con variantes como. REvil y Ryuk, donde grandes corporaciones sufrieron «un ataque completo con una variante de ransomware previamente desconocida llamada Pay2Key«.

Por otro lado, varias fuentes compartieron a ZDNet que se trataba de dos oleadas de ataques con ransom malware dirigidas a compañías israelíes, y que ambas podrían estar vinculadas con actores de amenazas iraníes, siendo WannaScream el otro ransomware usado.

Según el fundador y director ejecutivo de la firma de seguridad israelí Profero, Omri Segev Moyal, declaró que logró rastrear varios pagos de rescate a operadores de WannaScream, realizados en BTC, de compañías israelíes a un intercambio de criptomonedas con sede en Irán, de nombre Excoino.