Minero XMRig utilizado por ciberactores en campañas de malware

XMRig, malware de criptominería que se destaca por uso de tecnología de código abierto que desafortunadamente ha venido cobrando cada vez mayor relevancia en el ambiente del malware al ser adoptada por los cibercriminales como parte de sus campañas maliciosas.

XMRig

XMRig es un software de minería de código abierto creado para facilitar el acceso a la criptominería de Monero (Criptomoneda difícil de rastrear, otorgando mayor anonimato para los ciberdelincuentes) en los equipos que comprometen. Visto por primera vez el 26 de mayo de 2017 y con una última versión disponible de este software (6.12.1) lanzada el 24 de abril de 2021 ha sido adoptada por los cibercriminales como parte de sus campañas maliciosas para añadir funcionalidades de criptominería a su malware.

Algunos aspectos a favor de XMRig para los actores de amenazas:

• Su principal función es la distribución de trabajo a los mineros. 
• Pueden modificar el código abierto según sus necesidades favoreciendo la creación de versiones troyanizadas del minero de forma activa distintas campañas.
• XMRig utiliza el protocolo de comunicación ​Stratum que está basado en mensajes JSON-RPC para comunicarse tanto con el servidor proxy como con el pool de minería.
  • Esta comunicación suele producirse en texto claro y, por ende, es posible, en la mayoría de los casos, configurar indicadores de compromiso (IOC) en dispositivos de seguridad para detectar esta actividad en nuestra red.

Cryptojacking como medio de infección

Los actores maliciosos detrás de campañas de malware utilizan cryptojacking para poder infectar equipos que puedan brindarles potencia informática de manera gratuita para poder minar y obtener los moneros que deseen. Esto último dado que una de las principales características por la cual eligen XMRig sobre otros mineros es que facilita su utilización en procesadores comunes por encima de las tarjetas de video (GPU), el hardware dedicado (ASIC) y el hardware programable en campo (FPGA), características que los equipos comprometidos no suelen tener.

En base a lo anterior, datos reflejan que cerca de un 73% de malware dedicados a la minería de criptomonedas utilizan a XMRig en Latinoamérica.

Dentro de algunas de las amenazas que utilizan a XMRig se encuentran: VictoryGate y la botnet Phorpiex, quienes se dedican a distribuir a este minero en todos equipos que infectan.

Panorama

Con el surgimiento de nuevas tecnologías surgen también nuevas formas de monetizar los ataques, donde no necesariamente los objetivos del ciberactor son causar daño en la red en búsqueda de recompensa o extorsionar a sus propietarios, sino más bien utilizar sus recursos digitales y tecnológicos para la “fabricación” de dinero digital de la forma más cautelosa posible que le permitan mantenerse en la red durante largos periodos de tiempo.

Ante esta premisa los ciberactores utilizan criptomonedas que le provean el mayor anonimato posible, y que le brinden fluctuaciones de valor favorables, donde entre sus preferidos se encuentra “Monero (XMR)”, por esta y otras razones es cada vez más frecuente su visualización en gran variedad de software maliciosos, por lo que lleva a cabo un rol destacable dentro del panorama de amenazas del presente año y probablemente los siguientes.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.