La criptomoneda está explotando en todo el mundo, al igual que los ataques que involucran criptomonedas. Desde bitcoin hasta Ethereum y Monero, los ciberdelincuentes están robando monedas a través de phishing, malware y compromisos de plataformas de intercambio, lo que provoca enormes pérdidas tanto a los consumidores como a las empresas del sector. Las violaciones de datos de alto perfil y el robo son responsables de la mayoría de las pérdidas para las organizaciones en el sector de las criptomonedas, pero existe otra amenaza más insidiosa que agota las criptomonedas a un ritmo lento y constante: la minería de criptomonedas maliciosa, también conocida como criptojacking. Hoy vamos a analizar un minero de criptomonedas llamado XMRig, qué es, cómo funciona y cómo eliminarlo.

¿Qué es XMRig?

MRig es una herramienta de minería de monedas, que está oficialmente desarrollada y distribuida por un usuario epónimo. La versión real actual de ese programa es 6.12.1, lanzada el 24 de abril de 2021. Permite usar la potencia de cálculo de su GPU para realizar una operación de minería de criptomonedas. Calcular el hash del bloque (que generalmente se entiende bajo la minería de criptomonedas) requiere mucho tiempo, y esa cantidad de tiempo puede reducirse mediante el aumento de la potencia del hardware. Las personas que se dedican a la minería de criptomonedas utilizan el programa XMRig para controlar ese proceso a través de las diversas configuraciones.

Puedes elegir entre los núcleos de minería que difieren en el consumo de recursos y realizar varios ajustes para aumentar la eficiencia del proceso de minería en stu computadora. Ese programa es definitivamente benevolente y legítimo, y no tienes nada de qué preocuparte.

XMRig es un minero de Monero popular y es preferido por los atacantes porque es fácil de usar, eficiente y, lo más importante, de código abierto. Por lo tanto, los atacantes pueden modificar su código. Por ejemplo, la mayoría de los criptomineros de Monero donan a la fuerza un porcentaje de su tiempo de minería a los desarrolladores del minero. Una modificación común que hacen los atacantes es cambiar el porcentaje de donación a cero.

¿Cómo se manifiesta este malware?

El cryptojacking puede ocurrir en varios tipos de dispositivos y millones de usuarios han sido infectados en ataques recientes. Con el malware, el objetivo es infectar con éxito tantos puntos finales como sea posible, y la evaluación de los ataques recientes muestra que los actores de amenazas intentarán apuntar a cualquier cosa que pueda brindarles potencia informática gratuita. Aparte del servidor o punto final más común, también se ha observado cryptojacking en:

  • Sitios web
  • Dispositivos móviles
  • Botnets de Internet de las cosas (IoT)
  • Sistemas de control industrial

Aunque pueda parecer que cualquier dispositivo sirve, los mineros más atractivos son los servidores, que tienen más potencia que los dispositivos antes mencionados, tiempo de actividad 24/7 y conectividad a una fuente de energía confiable. Las CPU / GPU del servidor son adecuadas para la minería de Monero, lo que significa que el malware basado en XMRig podría esclavizarlos para extraer monedas continuamente.

Las vulnerabilidades de los servidores existen porque muchas organizaciones aún ejecutan sistemas y activos obsoletos que han superado el final de su vida útil, lo que resulta en exploits fáciles de encontrar que los comprometen e infectan. Peor aún, nuestros investigadores creen que los servidores más antiguos que no se han parcheado durante un tiempo también es poco probable que lo sean en el futuro, dejándolos susceptibles a la explotación e infección repetidas. Estos ataques están llegando a las organizaciones en la naturaleza, y un informe reciente de IBM X-Force señaló que los ataques de red con mineros de CPU de criptomonedas se han multiplicado por seis.

Se sabe que el sector industrial ejecuta sistemas operativos y software obsoletos, lo que lo deja particularmente vulnerable. Muchas veces, las redes internas y operativas en la infraestructura crítica pueden exponerlas a un mayor riesgo. Si bien la pérdida de datos sería un problema para cualquier organización, puede resultar en situaciones potencialmente mortales en una planta industrial.

¿Qué síntomas provoca en el equipo?

Debido a que XMRig CPU Miner es un troyano, se ha diseñado para que parezca una actualización de Adobe Flash Player, que es un programa de software dirigido a menudo. XMRig tiene una GPU NVIDIA y una versión de GPU AMD. En el último año, los ciberdelincuentes han modificado este virus troyano, lo que permite al usuario actualizar su Adobe Flash Player para impulsar aún más la ilusión de que es el verdadero negocio.

Gracias a los investigadores de seguridad que investigaron el virus, los usuarios pueden determinar varios detalles que delatan a XMRig:

  • El navegador emergente del instalador dirá que el editor es desconocido cuando debería decir que el editor es Adobe Flash.
  • La computadora del usuario de repente se volverá lenta porque XMRig usa el 70% de la CPU de una computadora y consume energía de las tarjetas gráficas.
  • La computadora del usuario se calentará durante largos períodos de tiempo, lo que reducirá la vida útil de la CPU.
  • Los usuarios pueden notar el programa Wise en su computadora y Winserv.exe. expediente.

Los investigadores no se han concentrado en las URL que llevan a los usuarios a descargar accidentalmente el virus, pero hay muchas formas de prevenirlo y otros virus.

¿Por qué este minero de criptomonedas es tan atractivo para los ciberdelincuentes?

El mundo del malware puede generar millones de cepas diferentes al año que infectan a los usuarios con códigos iguales o muy similares. La reutilización de código a menudo ocurre porque los desarrolladores de malware no reinventarán la rueda si no es necesario.

En el mundo de los troyanos bancarios, el ejemplo más infame es el código fuente de Zeus v2, que se filtró en 2011 y desde entonces se ha utilizado innumerables veces, ya sea tal cual o en variaciones adaptadas a diferentes destinos o geografías. Algunos ejemplos de códigos de Zeus son Zeus Panda y Sphinx, pero el mismo ADN también vive en Atmos y Citadel. Algunas partes, en particular el mecanismo de inyección, se incluyen en muchos otros troyanos bancarios.

Un escenario similar de fuga de código y su posterior reutilización ocurrió en el espacio móvil con la fuga del código GM Bot en 2016. Ese código fuente estimuló el surgimiento de muchos otros troyanos móviles, incluidos Bankosy, Mazar y SlemBunk, por nombrar algunos. El campo del malware móvil vio surgir un segundo precursor cuando otro código fuente, BankBot , también se filtró a principios de 2017, lo que dio lugar a enemigos adicionales.

En cuanto a la arena del cryptojacking, que comenzó a mostrar una mayor actividad a mediados de 2017, es fácil darse cuenta de que el único nombre que sigue repitiéndose es XMRig. Aunque no es intrínsecamente malicioso, la disponibilidad ilimitada de este código lo hace popular entre los actores maliciosos que lo adaptan para la minería ilícita de la criptomoneda Monero.

En la actualidad, con el continuo desarrollo del cibercrimen y su implacable búsqueda por monetizar al máximo sus actividades maliciosas, es usual encontrar cada vez más familias de malware vinculadas con la criptominería. Adicionalmente, más allá de cómo son detectados algunos códigos maliciosos, existen muchas aplicaciones potencialmente no deseadas (PUAs) que también realizan estas acciones sin advertirle claramente al usuario. Estos fenómenos no serían posibles sin la gran expansión que ha sufrido el mercado de las criptomonedas en los últimos años, logrando atraer no solo la atención de los cibercriminales, sino también de muchos desarrolladores que han implementado sus propios algoritmos de minería de código abierto sin tener relación alguna con actividades maliciosas.

¿Por qué lo suelen usar para minar la criptomoneda Monero?

Monero, que significa «moneda» en esperanto, es una criptomoneda descentralizada que creció a partir de una bifurcación en la cadena de bloques ByteCoin. El proyecto en sí es de código abierto y financiado por crowdfunding.

A diferencia de las criptomonedas anteriores, Monero, que comenzó en 2014, cuenta con una minería más fácil y transacciones imposibles de rastrear y ha visto aumentar su valor con el tiempo. El algoritmo de prueba de trabajo, CryptoNight, favorece las CPU de computadora o servidor, en contraste con los mineros de bitcoin, que requieren hardware GPU relativamente más caro para extraer monedas.

Estas características atraen a nuevos mineros legítimos, pero son igualmente atractivos para los ciberdelincuentes que buscan ganar dinero sin tener que invertir gran parte de sus propios recursos. Recurren al uso de malware o simplemente a reelaborar XMRig para minar Monero.

El Proyecto Monero no respalda ninguna herramienta, software o hardware en particular para mineros. Si bien hay al menos otros tres códigos disponibles, la elección popular entre los ciberdelincuentes parece ser el código XMRig de código abierto.

Según la investigación existente sobre el uso malicioso de XMRig, los desarrolladores de sombrero negro apenas han aplicado cambios al código original. Las modificaciones anteriores muestran algunos cambios en los argumentos de la línea de comandos codificados que contienen la dirección de la billetera del atacante y la URL del grupo de minería, además de cambios en algunos argumentos que eliminan todas las instancias de XMRig que se estaban ejecutando anteriormente para garantizar que nadie más se beneficie del mismo hardware. Los cambios de este alcance pueden tardar unos minutos en realizarse.

Dado que es un proyecto de código abierto, XMRig generalmente envía una donación del 5 por ciento de los ingresos obtenidos de las monedas extraídas a la dirección de la billetera del autor del código. Las iteraciones maliciosas de XMRig eliminan ese fragmento y los atacantes recolectan el 100 por ciento del botín.

Algunos ejemplos de nombres de malware que se generaron a partir del código XMRig y aparecieron en ataques recientes son RubyMiner y WaterMiner.

En términos de la escala de ataque de los mineros basados ​​en XMrig, las cifras son sorprendentes. En enero de 2018, los investigadores identificaron 250 ejecutables únicos basados ​​en Windows utilizados solo en una campaña basada en XMRig. La operación de infección general se completó con su propia zona de descarga desde una plataforma de almacenamiento en la nube, usó los servicios de proxy XMRig para ocultar el grupo de minería de destino e incluso conectó la campaña con un mercado de minería de criptomonedas alojado en la nube que conecta a los vendedores de poder de hash con los compradores para maximizar beneficios para el atacante.

¿Cómo eliminar el virus XMRig?

Para eliminar xmrig.exe de tu computadora, sigue los siguientes pasos uno por uno. Esto desinstalará xmrig.exe si era parte del software instalado en tu computadora.

  • Si el archivo es parte de un programa de software, también tendrá un programa de desinstalación. Luego puedes ejecutar el desinstalador ubicado en un directorio como C: Archivos de programa> www.xmrig.com> XMRig> XMRig CPU miner> xmrig.exe_uninstall.exe
  • Si el xmrig.exe se instaló usando el instalador de Windows o en Android, para desinstalarlo ve a Configuración del sistema y abre la opción Agregar o quitar programas
  • Luego busca xmrig.exe o el nombre del software XMRig en la barra de búsqueda o prueba el nombre del desarrollador www.xmrig.com.
  • Haz clic en él y selecciona la opción Desinstalar programa para eliminar el archivo xmrig.exe de tu computadora. Ahora, el programa de software XMRig junto con el archivo xmrig.exe se eliminarán de tu computadora.

Usar GridinSoft Anti-Malware sin duda sería el mejor remedio. No faltan las aplicaciones de software de ciberseguridad ofrecidas que detectarán y eliminarán el malware de minería. A diferencia de Microsoft Defender, el programa GridinSoft no tiene vulnerabilidades que permitan que los virus eviten el lanzamiento del antivirus. Ese programa también consume mucha menos capacidad de hardware, por lo que encajará idealmente incluso en las PC obsoletas.

  • Descarga el software
  • Cuando el archivo de instalación haya terminado de descargarse, haz doble clic en el archivo install-antimalware-fix.exe para instalar GridinSoft Anti-Malware en tu sistema.
  • Un Control de cuentas de usuario te pregunta si debes permitir que GridinSoft Anti-Malware realice cambios en tu dispositivo. Por lo tanto, debes hacer clic en «Sí» para continuar con la instalación.
  • GridinSoft Anti-Malware comenzará automáticamente a escanear tu sistema en busca de archivos xmrig.exe y otros programas maliciosos. Este proceso puede tardar entre 20 y 30 minutos, por lo que te sugiero que compruebes periódicamente el estado del proceso de escaneo.
  • Cuando finalice el análisis, verás la lista de infecciones que GridinSoft Anti-Malware ha detectado. Para eliminarlos, haz clic en el botón «Limpiar ahora» en la esquina derecha.

Mitigar el riesgo de amenazas conocidas debe ser una parte integral de tus prácticas de administración de seguridad e higiene cibernética. Si bien la búsqueda de malware a menudo se considera un esfuerzo de golpear a un topo, prevenir el código malicioso basado en XMRig es más fácil debido a su prevalencia en la naturaleza.

Dado que XMRig miner es de código abierto y se sigue reutilizando en los ataques, los equipos de seguridad deben buscar controles que brinden protección general y eliminen diferentes iteraciones de este código. Para aquellos que ejecutan servidores y sistemas operativos más antiguos en los que el riesgo de infección es mayor, las mejores prácticas de seguridad requieren minimizar la exposición, implementar controles de compensación y planificar una actualización rápida para reducir los riesgos.

Escribe aquí tu comentario

Deja un comentario

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.