{"id":56941,"date":"2020-05-19T15:11:03","date_gmt":"2020-05-19T13:11:03","guid":{"rendered":"https:\/\/www.crypto-news-flash.com\/?p=56941"},"modified":"2020-05-19T15:11:03","modified_gmt":"2020-05-19T13:11:03","slug":"minan-monero-con-malware-que-infecto-supercomputadoras-en-europa","status":"publish","type":"post","link":"https:\/\/crypto-news-flash.com\/es\/minan-monero-con-malware-que-infecto-supercomputadoras-en-europa\/","title":{"rendered":"Minan Monero con malware que infect\u00f3 supercomputadoras en Europa"},"content":{"rendered":"<ul>\n<li><strong>Incidentes con supercomputadoras en varios pa\u00edses de Europa revelan que se ha usado malware para aprovecharse de su poder computacional para minar Monero.\u00a0<\/strong><\/li>\n<li><strong>Posibles atacantes habr\u00edan usado proxy hosts para miner\u00eda de Monero con una configuraci\u00f3n para evitar detecci\u00f3n. <\/strong><\/li>\n<\/ul>\n<hr \/>\n<p>Una serie de reportes de varias instituciones europeas revelan incidentes relacionados a miner\u00eda ilegal de la <a href=\"https:\/\/www.crypto-news-flash.com\/es\/monedas\/\">criptomoneda<\/a> <a href=\"https:\/\/www.crypto-news-flash.com\/es\/que-es-monero-xmr-guia-para-principiantes-la-mejor-moneda-de-privacidad\/\" target=\"\" rel=\"noopener noreferrer\">Monero<\/a> usando malware para infectar supercomputadoras. Los incidentes ocurrieron en distintos pa\u00edses de Europa. Entre los pa\u00edses afectados est\u00e1 el Reino Unido, Alemania, Suiza, Espa\u00f1a. Similitudes entre los incidentes indican a los investigadores que se podr\u00eda tratar de un solo grupo o entidad. Sin embargo, no hay evidencia definitiva en ese aspecto.<\/p>\n<h2>Fallas de seguridad por miner\u00eda de Monero<\/h2>\n<p>El primer <a href=\"https:\/\/www.archer.ac.uk\/status\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">reporte<\/a> que se refiri\u00f3 a un incidente relacionado con el malware para minar Monero, fue publicado por el Servicio Nacional de Supercomputaci\u00f3n del Reino Unido, ARCHER. Publicado el 11 de mayo, el reporte anuncia la desactivaci\u00f3n del acceso al sistema ARCHER. La desactivaci\u00f3n se debi\u00f3 inicialmente a una explotaci\u00f3n de una vulnerabilidad en los nodos de login de ARCHER, como afirma el reporte.<\/p>\n<p>En entradas posteriores y despu\u00e9s de investigaciones m\u00e1s exhaustivas, se pudo concluir que el problema estaba relacionado a una serie de incidentes que afectaron los sistemas de varias instituciones europeas. En ese sentido, un <a href=\"https:\/\/www.bwhpc.de\/news.html\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">reporte<\/a> del bwHPC de Alemania tambi\u00e9n anunci\u00f3 el 11 de mayo que desactivar\u00eda los siguientes sistemas de High Performance Computing (HPC): bwUniCluster 2.0, ForHLR II, bwForCluster JUSTUS, bwForCluster BinAC, y Hawk.<\/p>\n<p>Otro <a href=\"https:\/\/www.cscs.ch\/publications\/news\/2020\/shutdown-after-cyber-incident\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">reporte<\/a> del Centro Nacional de Supercomputaci\u00f3n de Zurich confirm\u00f3 la teor\u00eda de los investigadores iniciales. Publicado d\u00edas m\u00e1s tarde, el 16 de mayo, el reporte afirma que varios centros de datos academicos y sistema HPC del mundo estaban \u00abluchando contra ciberataques y, por lo tanto, tuvieron que desactivarse\u00bb. Igual que en los reportes anteriores, en este \u00faltimo no se hace menci\u00f3n de miner\u00eda de Monero. Posiblemente en espera de una investigaci\u00f3n m\u00e1s completa.<\/p>\n<p>Sin embargo, el co-fundador de Cado Security, Chris Doman, public\u00f3 los resultados de la investigaci\u00f3n de su empresa sobre los incidentes. Cado Security afirma que los incidentes est\u00e1n relacionados debido a que en todos se hace referencia a un archivo con el mismo nombre, \u00abfonts\u00bb. Este archivo se usa como cargador en conjunto con otro archivo llamado \u00ablow\u00bb que se usa para limpiar los registros y esconder pistas sobre los ataques. El reporte de Cado afirma (traducido libremente):<\/p>\n<blockquote><p>(los atacantes) tal vez est\u00e1n usando uno o m\u00e1s m\u00e9todos para la escalada de privilegios, posiblemente CVE-2019-15666. En este momento la instalaci\u00f3n nacional del Reino Unido ARCHER est\u00e1 fuera de l\u00ednea ya que han sufrido una explotaci\u00f3n de ra\u00edz.<\/p>\n<p>Los actores provienen de las siguientes direcciones IP, 202.120.32.231 y 159.226.161.107, no se adivina de qu\u00e9 pa\u00eds provienen.<\/p><\/blockquote>\n<p>Estas mismas direcciones de IP fueron registradas como parte de otros incidentes en las universidades de Shanghai Jiaotong\u00a0 y la red de Ciencia y Tecnolog\u00eda de China. Cado tambi\u00e9n pudo concluir que los archivos de \u00abCargado\u00bb y \u00abLimpiador\u00bb fueron subidos a VirutsTotal desde los pa\u00edses europeos mencionados.<\/p>\n<p>De igual manera, un reporte separado del Equipo de Respuesta Europeo para la Seguridad Computacional afirma que los atacantes usan credenciales SSH comprometidas para saltar entre diferentes v\u00edctimas. Luego los atacantes convierten el CPU que infectan con el malware a uno de diferentes roles mencionados a continuaci\u00f3n (traducido libremente):<\/p>\n<blockquote><p>Anfitriones de miner\u00eda XMR (ejecutando un binario XMR oculto)<\/p>\n<p>Anfitriones XMR-proxy ; El atacante utiliza estos anfitriones de los anfitriones mineros XMR, para conectarse a otros anfitriones XMR-proxy y eventualmente al servidor minero real.<\/p>\n<p>Anfitriones proxy SOCKS (ejecutando una instancia microSOCKS en un puerto alto) ; El atacante se conecta a estos anfitriones v\u00eda SSH, a menudo desde Tor. MicroSOCKS tambi\u00e9n se usa desde Tor.<\/p>\n<p>Anfitriones de t\u00fanel (t\u00faneles SSH) ; El atacante se conecta v\u00eda SSH (cuenta comprometida) y configura NAT PREROUTING (t\u00edpicamente para acceder a espacios IP privados).<\/p><\/blockquote>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">I took a look at the recent attacks against Supercomputers and found some more details on attacks against Supercomputers in the UK, US, Germany and elsewhere -&gt; <a href=\"https:\/\/t.co\/EXdxB2jPI1\">https:\/\/t.co\/EXdxB2jPI1<\/a> <a href=\"https:\/\/t.co\/3gOaLKCfyQ\">pic.twitter.com\/3gOaLKCfyQ<\/a><\/p>\n<p>&mdash; chris doman (@chrisdoman) <a href=\"https:\/\/twitter.com\/chrisdoman\/status\/1261662464107843584?ref_src=twsrc%5Etfw\">May 16, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Al momento de publicaci\u00f3n, el XMR se <a href=\"https:\/\/www.crypto-news-flash.com\/es\/precio-del-monero\/\">comercia<\/a> por $66,24 con ganancias del 1% en las \u00faltimas 24 horas, siguiendo el sentimiento general del <a href=\"https:\/\/www.crypto-news-flash.com\/es\/capitalizacion-de-mercado\/\">mercado<\/a> que registra ganancias ligeras en el \u00faltimo d\u00eda.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Incidentes con supercomputadoras en varios pa\u00edses de Europa revelan que se ha usado malware para aprovecharse de su poder computacional para minar Monero.\u00a0 Posibles atacantes habr\u00edan usado proxy hosts para miner\u00eda de Monero con una configuraci\u00f3n para evitar detecci\u00f3n. Una serie de reportes de varias instituciones europeas revelan incidentes relacionados a miner\u00eda ilegal de la<\/p>\n","protected":false},"author":12,"featured_media":6086,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[],"tags":[],"class_list":["post-56941","post","type-post","status-publish","format-standard","has-post-thumbnail"],"acf":[],"_links":{"self":[{"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/posts\/56941","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/comments?post=56941"}],"version-history":[{"count":0,"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/posts\/56941\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/media\/6086"}],"wp:attachment":[{"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/media?parent=56941"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/categories?post=56941"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/crypto-news-flash.com\/es\/wp-json\/wp\/v2\/tags?post=56941"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}