Los proveedores de servicios de Internet (ISP) en China y la costa oeste de Estados Unidos están siendo el objetivo de ciberataque una campaña de explotación masiva que despliega malware ladrón de información y mineros de criptomonedas en hosts comprometidos.
Ataques dirigidos a ISP y estrategias de intrusión
Según un informe del Equipo de Investigación de Amenazas de Splunk, la actividad maliciosa ha resultado en la instalación de múltiples binarios maliciosos diseñados para extraer datos confidenciales y establecer persistencia en los sistemas infectados.
Los actores de amenazas, cuya identidad aún no ha sido determinada, han ejecutado estas operaciones de manera mínimamente intrusiva para evitar detección, con la excepción de los rastros dejados por cuentas previamente comprometidas.
«Este actor también se mueve y pivota principalmente mediante el uso de herramientas que dependen y se ejecutan en lenguajes de scripting (por ejemplo, Python y PowerShell), lo que le permite operar en entornos restringidos y utilizar llamadas API (por ejemplo, Telegram) para operaciones C2 [comando y control]», señala Splunk en su informe.
Los ataques han utilizado principalmente fuerza bruta contra credenciales débiles, con intentos de intrusión provenientes de direcciones IP asociadas a Europa del Este. Se estima que más de 4.000 direcciones IP de ISP han sido atacadas específicamente.
Fases del ataque: desde el acceso inicial hasta la exfiltración de datos
El proceso de intrusión sigue una serie de fases bien estructuradas:
- Acceso inicial: Los atacantes emplean fuerza bruta contra credenciales débiles para obtener acceso no autorizado a sistemas ISP en China y EE. UU.
- Despliegue de malware: Una vez dentro, se descargan múltiples ejecutables a través de PowerShell para realizar escaneos de red, robo de información y minería de criptomonedas con el software XMRig.
- Evasión de seguridad: Antes de ejecutar las cargas útiles principales, el malware desactiva productos de seguridad y detiene servicios que podrían detectar criptomineros.
- Exfiltración de datos: Se roba información confidencial, como credenciales y direcciones de billeteras de criptomonedas, y se envía a un bot de Telegram para su uso posterior.
Características del malware utilizado en los ataques
El malware ladrón de información empleado en esta campaña es altamente sofisticado, ya que combina varias funcionalidades para maximizar el impacto en las víctimas:
✔ Captura de pantalla: Permite a los atacantes obtener evidencia visual del entorno comprometido.
✔ Clipper para robo de criptomonedas: Modifica el contenido del portapapeles en busca de direcciones de billeteras de criptomonedas, redirigiendo transacciones a cuentas controladas por los atacantes.
✔ Minería de criptomonedas XMRig: Utiliza los recursos computacionales de las víctimas para extraer Monero (XMR), afectando el rendimiento del sistema.
Entre las criptomonedas afectadas por el malware clipper se encuentran:
- Bitcoin (BTC)
- Ethereum (ETH)
- Binance Chain BEP2 (ETHBEP2)
- Litecoin (LTC)
- TRON (TRX)
Herramientas y técnicas utilizadas por los atacantes
El informe de Splunk detalla el uso de herramientas especializadas que facilitan el compromiso de los sistemas:
📌 Auto.exe: Descarga una lista de contraseñas (pass.txt) y una lista de direcciones IP (ip.txt) desde un servidor de comando y control (C2), lo que permite realizar ataques de fuerza bruta.
📌 Masscan.exe: Herramienta de escaneo masivo utilizada para identificar puertos abiertos en direcciones IP objetivo.
Splunk destaca que los actores de amenazas han dirigido ataques a rangos CIDR específicos de proveedores de infraestructura ISP en China y EE. UU. utilizando herramientas de escaneo masivo.
«Estas direcciones IP fueron atacadas mediante el uso de una herramienta de escaneo masivo que permite a los operadores analizar grandes cantidades de direcciones IP y sondearlas en busca de puertos abiertos, facilitando ataques de fuerza bruta contra credenciales».
Impacto y riesgos para los ISP
Esta campaña de ciberataques representa una amenaza crítica para la infraestructura de los proveedores de servicios de Internet, ya que:
- Compromete la seguridad de datos sensibles, permitiendo la exfiltración de credenciales y otra información confidencial.
- Afecta el rendimiento de los sistemas, ya que la minería de criptomonedas consume recursos computacionales que deberían estar destinados a funciones legítimas.
- Facilita accesos no autorizados persistentes, lo que podría derivar en ataques de mayor envergadura o en el uso de los servidores ISP como puntos de entrada a redes más grandes.
Recomendaciones para mitigar el riesgo
Para proteger las infraestructuras ISP y reducir la exposición a este tipo de ataques, se recomienda:
✅ Implementar autenticación multifactor (MFA) para prevenir accesos no autorizados mediante credenciales débiles.
✅ Fortalecer la gestión de contraseñas, exigiendo combinaciones seguras y evitando claves predeterminadas o fácilmente adivinables.
✅ Monitorizar el tráfico de red en busca de patrones anómalos, como conexiones a servidores de comando y control (C2).
✅ Actualizar software y sistemas operativos para cerrar vulnerabilidades explotadas por los atacantes.
✅ Bloquear direcciones IP sospechosas, especialmente aquellas identificadas como origen de intentos de fuerza bruta.
En fin, el ataque dirigido a ISP en China y la costa oeste de EE. UU. pone de manifiesto la sofisticación creciente de los ciberdelincuentes y la importancia de implementar medidas de seguridad proactivas. Con el uso de herramientas como PowerShell, Python y API de Telegram, los atacantes logran evadir defensas y comprometer infraestructuras críticas.
Dado el crecimiento del cibercrimen y el aumento de ataques dirigidos a proveedores de servicios de Internet, es crucial que las empresas refuercen sus estrategias de ciberseguridad para evitar ser víctimas de estas amenazas en evolución.
Fuente: The Hacker News
