Iforense

PowerGhost: ten cuidado con el minero fantasma

Expertos de kaspersky LAB han descubierto un minero que tiene como objetivo principal las redes corporativas. Gracias a su naturaleza fileless, sin archivos, PowerGhost permite que el malwareconecte por sí mismo con las estaciones de trabajo o servidores de las víctimas sin ser visto. La mayoría de los ataques que hemos registrado hasta ahora han tenido lugar en India, Turquía, Brasil o Colombia.

Después de penetrar en la infraestructura de una compañía, PowerGhost intenta iniciar sesión en las cuentas del usuario de la red mediante la herramienta de administración remota Windows Management Instrumentation (WMI). El malware obtiene los nombres de usuario y contraseñas a través de una herramienta de extracción de datos llamada Mimikatz. El minero también se puede distribuir mediante el exploit de EternalBlue para Windows, utilizado por los creadores de WannaCry y ExPetr. En teoría, esa vulnerabilidad lleva un año parcheada, pero sigue funcionando.

Una vez en el dispositivo de la víctima, el malware intenta acentuar sus privilegios a través de vulnerabilidades en el sistema operativo (en esta publicación del blog Securelist encontrarás más información). Después, el minero se hace un hueco en el sistema y empieza a ganar criptomonedas para sus propietarios.

¿Por qué es tan peligroso PowerGhost?

Como cualquier otro minero, PowerGhost utiliza recursos informáticos para generar criptomonedas, lo que reduce el rendimiento del servidor y del resto del dispositivo, además de acelerar el desgaste, generando costes de sustitución.

Sin embargo, en comparación con la mayoría de los programas del estilo, PowerGhost es más complicado de detectar porque no descarga archivos maliciosos en el dispositivo. Lo que significa que puede operar sin ser percibido en tu servidor o estación de trabajo y generar más daños.

Además, en una versión del malware, nuestros expertos descubrieron una herramienta para ataques DDoS. El uso de los servidores de una empresa para bombardear otra víctima puede reducir o, incluso, paralizar las actividades de la operación. Una característica interesante es la capacidad del malware de comprobar si se ha ejecutado en un sistema operativo real o en un sandbox, lo que le permite evitar soluciones de seguridad tradicionales.

Los cazadores de PowerGhost

Para evitar la infección y proteger el equipo de PowerGhost u otro malware similar, debes monitorizar cuidadosamente la seguridad de las redes corporativas.

  • No omitas las actualizaciones de software y sistema operativo. Todas las vulnerabilidades explotadas por el minero ya han sido parcheadas por los proveedores. Los desarrolladores de virus suelen basarse en exploits que ya tienen solución.
  • Actualiza los conocimientos de tus empleados en materia de seguridad. Recuerda que muchos de los ciberincidentes se deben al factor humano.
  • Utiliza soluciones de seguridad de confianza con tecnología de análisis de comportamiento, está es la única forma en la que se puede detectar una amenaza sin archivo. Los productos empresariales de Kaspersky Lab interceptan tanto a PowerGhost como a sus componentes individuales, además de otros muchos programas maliciosos, incluidos los que ya conocemos.

PowerGhost: nuevo minero de criptomonedas apunta a redes corporativas de América Latina

Investigadores de Kaspersky Lab han descubierto un nuevo minero de criptomonedas, PowerGhost que ha afectado redes corporativas de varias regiones, principalmente en América Latina. Esto es lo último en la nueva tendencia donde cibercriminales utilizan mineros en ataques dirigidos con el fin de obtener dinero. A medida que esta tendencia crezca, más empresas se verán en peligro, ya que los mineros sabotean y ralentizan sus redes informáticas, dañando los procesos comerciales generales y llenando sus propios bolsillos en el proceso.

 

En este momento los mineros de criptomonedas son un tema en furor en el área de ciberseguridad. Este software especializado en “minería” crea nuevas monedas aprovechando la potencia de  computadoras y dispositivos victimas sin su conocimiento. La amenaza se ha disparado en los últimos tiempos, y ha reemplazado al ransomware como el principal tipo de software malicioso, como lo expuso una investigación previa de Kaspersky Lab. Sin embargo, la aparición de PowerGhost agrega una nueva dimensión a esa tendencia. Demuestra que los desarrolladores de mineros maliciosos están cambiando su atención hacia ataques dirigidos para obtener más dinero, como predijeron los investigadores de Kaspersky Lab.

Geografía de infecciones por el minero

PowerGhost se distribuye dentro de redes empresariales, infectando a estaciones de trabajo y servidores. Las victimas principales de este ataque han sido usuarios corporativos en Brasil, Colombia, India y Turquía. Sin embargo, también se han registrado víctimas en México, Perú y Ecuador. Curiosamente, PowerGhost utiliza varias técnicas sin la necesidad de archivos para acceder discretamente a las redes corporativas— lo que significa que el minero no almacena la carga maliciosa del malware directamente en un disco, lo que hace más compleja su detección y neutralización.

La infección del equipo se produce mediante exploits o herramientas de administración remota. Cuando la máquina se infecta, la carga maliciosa del minero se descarga y se ejecuta sin estar almacenado en el disco duro. Una vez que esto ha sucedido, los ciberdelincuentes pueden hacer que el minero se actualice automáticamente, se extienda dentro de la red y se inicie el proceso de minería de criptomonedas. 

“Los ataques de PowerGhost a empresas, con el propósito de instalar mineros, generan nuevas preocupaciones sobre el software de criptominería. El minero que examinamos indica que atacar a los usuarios ya no es suficiente. Los ciberdelincuentes ahora también tienen como objetivo a las  empresas, lo que hace que la “minería” de criptomonedas sea una amenaza para la comunidad empresarial”, comenta  Vladas Bulavas, analista de malware para Kaspersky Lab. 

Los productos de Kaspersky Lab detectan la amenaza como:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Para reducir el riesgo de infección por mineros, Kaspersky Lab aconseja a los usuarios:

  1. Siempre mantener actualizado el software en todos los dispositivos que utilice. Para evitar que los mineros exploten vulnerabilidades, use herramientas que puedan detectar automáticamente vulnerabilidades y descargue e instale parches.
  2. No pasar por alto objetivos menos obvios, como los sistemas de gestión de colas de trabajo, terminales POS e incluso máquinas expendedoras. Tales equipos también pueden ser secuestrados para extraer criptomonedas.
  3. Utilizar una solución de seguridad robusta con componentes de control de aplicaciones, detección de comportamiento y prevención de exploits que monitoreen las acciones sospechosas de aplicaciones y bloqueen la acción de archivos maliciosos. Kaspersky Endpoint Security for Business incluye estas funciones.
  4. Para proteger el entorno corporativo, capacite a sus empleados y equipos de TI, mantenga separados los datos confidenciales y restrinja el acceso.

 

FUENTE: Kaspersky

 
Tu aporte es valioso para Informática Forense Colombia

El Ingreso por Donaciones y Cursos Online Especializados hacen que este tipo de iniciativas tengan tiempo y espacio !

Mil gracias Informaticaforense.com.co

HAZ TU DONACIÓN :  US 40  si el monto de tu donación es mayor escribe a contacto@informaticaforense.com.co