GeekZilla
Image default
Geekzilla » Symantec protege a empresas ante infección por gusano de cryptojacking
Noticias

Symantec protege a empresas ante infección por gusano de cryptojacking

Symantec notifica que desde marzo han aumentado los ataques de cryptojacking a empresas.

Recientemente, la empresa detectó una nueva infección del gusano llamado Beapy, que se está enfocando en empresas de Asia, en China especialmente.

La actividad de Beapy fue observada por Symantec en enero de 2019 en servidores web. Desde entonces, su actividad ha ido en aumento, sobre todo desde inicios de marzo, y principalmente contra las empresas.

¿Qué es Beapy?

Beapy es un gusano que se esconde en las computadoras para sustraer dinero en línea (criptomonedas). El malware se basa en archivos y se infiltra vía correo electrónico, que usa como vector de infección inicial.

Casi todas las víctimas de Beapy han sido empresas. Esto podría indicar una tendencia iniciada por el gusano Bluwimps en 2018. Aunque Symantec no tiene evidencia de que sean ataques dirigidos, las habilidades de Beapy indican que su objetivo es propagarse a través de las redes empresariales.

Symantec alerta sobre estas tendencias, pues, según sus datos, los cibercriminales se están apartando de los consumidores para enfocarse en las empresas.

¿Cómo infecta?

Beapy actúa de la siguiente manera:

  • Un documento de Excel malicioso es enviado como archivo adjunto de correo electrónico.
  • El receptor del mensaje abre el archivo adjunto malicioso: la puerta trasera (backdoor) DoublePulsar se descarga en la máquina.
  • La backdoor permite la ejecución remota de código en la computadora infectada; de esta manera, los archivos se propagan de forma lateral entre las redes.

Después, según Symantec, se ejecuta un comando PowerShell y se realiza el contacto con el servidor de comando y control de Beapy.

Algunos comandos PowerShell más son ejecutados y se descarga un “minador” o sustractor de monedas. Este proceso se repite conforme Beapy se propaga a otras computadoras en la red.

Beapy también usa la herramienta roba-credenciales Hacktool.Mimikatz para tratar de recopilar las credenciales de las computadoras infectadas. Asimismo, el malware utiliza una lista de usuario y contraseñas para tratar de propagarse entre las redes.

Servidores web

Symantec descubrió una versión anterior de Beapy en un servidor web público, con la cual el gusano trataba de propagarse a las computadoras conectadas al servidor. Una de las formas como parece hacer esto es generando una lista de direcciones IP que trata de infectar.

Al parecer, este gusano usa máquinas sin parches (sin cambios correctivos) para arraigarse en la red, y después usa EternalBlue para propagarse a otras máquinas.

Efectos del cryptojacking en las empresas

Los impactos potenciales del cryptojacking para las empresas incluyen:

  • Una disminución del desempeño de los dispositivos, que implica la frustración de los empleados y una reducción de la productividad.
  • Baterías que se sobrecalientan.
  • Dispositivos que se vuelven inutilizables, lo cual genera costos.
  • Mayor uso de la electricidad.

Por eso, las empresas necesitan garantizar que sus redes estén protegidas contra toda la gama de amenazas de ciberseguridad.

Protección

Symantec recomienda algunas acciones para evitar infecciones por este tipo de malware:

  • Contar con tecnologías de protección que cubran terminales, correo electrónico y portales de red.
  • Instalar firewalls y soluciones de evaluaciones de vulnerabilidad.
  • Actualizar la seguridad constantemente.
  • No abrir mensajes de correo electrónico no solicitados o desconocidos.
  • Identificar y reportar PC infectadas.
  • Escanear el equipo al notar un aumento sospechoso de uso de la batería.  
  • Instalar los últimos parches, usar contraseñas seguras y habilitar la autenticación de dos factores.

Además, Symantec ofrece la siguiente protección para proteger a sus clientes contra estos tipos de ataques:

Artículos relacionados

Este sitio web utiliza cookies para mejorar su experiencia. Asumimos que está de acuerdo al seguir navegando. Aceptar Leer más