Más de 50,000 servidores que ejecutan MS-SQL y PHPMyAdmin de Windows en todo el mundo han sido víctimas de un nuevo tipo de malware relacionado con criptomonedas que se cree proviene de hackers chinos.
Guardicore Labs, un equipo de hackers internacionales y expertos en seguridad cibernética ha identificado el malware y, según se informa, han estado rastreando sus actividades durante los últimos dos meses.
En un informe publicado por Guardicore el miércoles 29 de mayo, el grupo de seguridad afirma que el malware se ha utilizado para infectar sistemas que pertenecen a compañías en los sectores de salud, telecomunicaciones, medios y TI que utilizan el poder de procesamiento secuestrado para minar una criptomoneda enfocada en la privacidad llamada Turtle coin (TRTL).
La mayoría de los servidores actualmente infectados han sido identificados en China, Estados Unidos e India. Sin embargo, los investigadores también informan que el resto de los servidores están distribuidos en al menos otros 90 países.
“Una vez comprometidos, los servidores de destino se infectaron con cargas útiles maliciosas. Estos, a su vez, dejaron caer un crypto-minero e instalaron un sofisticado rootkit de modo kernel para evitar que el malware se termine ”, se lee en el informe.
Lo detectaron por primera vez en abril de este año cuando el malware infectó una red de servidores controlados por la Guardicore Global Sensor Network (GGSN). Una vez que los investigadores identificaron el ataque, comenzaron a rastrear el malware para averiguar el alcance del ataque e identificar la amenaza.
Pronto descubrieron un camino que lleva a las actividades de malware que datan de dos meses antes del 26 de febrero. Durante los últimos dos meses, entre las fechas del 13 de abril y 13 de mayo, los investigadores informaron que el malware infectó al menos 47,985 servidores que se expanden a una tasa de más de «setecientas nuevas víctimas por día».
El análisis detallado de la amenaza descubrió que el malware es más avanzado que el malware normal de criptografía. Por un lado, la amenaza se propaga a través de técnicas como certificados falsos y explotaciones de escalamiento de privilegios comúnmente utilizadas en amenazas persistentes avanzadas.
Los investigadores identificaron una frase común en las cadenas de archivos de texto del malware almacenadas en los servidores del atacante, Nansh0u, que también le dio a los investigadores el nombre del malware.
Guardicore cree que los atacantes detrás del malware son actores de la amenaza sinófona china porque la mayoría de las herramientas en el malware (es decir, la carga útil) están escritas en el lenguaje de programación basado en chino EPL.
Los investigadores también encontraron una serie de otras cadenas de texto dentro de los archivos de origen escritos en el mismo idioma.
Según afirman los investigadores, las herramientas que emplea el malware pueden ser herramientas que tradicionalmente han sido empleadas por atacantes con mayor habilidad, pero la campaña de Nansh0u ha demostrado que incluso los piratas informáticos menos expertos ahora pueden ejecutar un ataque altamente sofisticado.
«La campaña Nansh0u no es un ataque típico de cripto-minero», afirma el informe.
Los investigadores han incluido un script para que los administradores de sistemas lo utilicen para escanear sus servidores en busca de este malware y aconseja a aquellos que aún no se han infectado que implementen contraseñas más seguras, ya que «esta campaña demuestra una vez más que las contraseñas comunes aún constituyen el enlace más débil en los flujos de ataque de hoy».
