Descubren nuevas variantes del criptominero Tor2Mine más agresivas

Desde la firma de seguridad Sophos, que ha realizado el hallazgo, señalan que Tor2Mine es mucho más agresivo que otros mineros.

Alberto Payo

Periodista

Guardar

En los últimos años, los criptoactivos han alcanzado gran valor económico.
En los últimos años, los criptoactivos han alcanzado gran valor económico.

'Bicho malo nunca muere', se suele decir popularmente. Y esto es algo que se aplica también al mundo de la ciberseguridad, en el que muchas amenazas regresan y regresan una y otra vez, aun con distintas apariencias. 

La compañía de seguridad Sophos ha publicado nuevos hallazgos en relación al criptominero Tor2Mine, a través de las cuales puede verse cómo este es capaz de propagarse automáticamente a través de una red objetivo, cómo evita la detección y cómo resulta cada vez más difícil de eliminar de un sistema infectado. 

Tor2Mine es un minero de Monero que lleva activo desde al menos dos años. En su investigación Sophos ha podido encontrar nuevas variantes, incluyendo un script de PowerShell que intenta deshabilitar la protección contra malware, ejecutar la carga útil del minero y robar las credenciales de administrador de Windows. La firma asegura que todas las variantes que se han analizado siguen el mismo proceso. 

Si los atacantes consiguen privilegios de administrador con estas credenciales el daño puede ser aun mayor. Así, podrían granjearse el acceso privilegiado necesario que les permitiría instalar los archivos de minería. Asimismo, podrían buscar en la red otras máquinas en las que instalar los archivos de minería. De esta manera Tor2Mine podría propagarse e incrustarse en computadoras a través de la red. 

Aunque los atacantes no lleguen a obtener privilegios administrativos, Tor2Mine todavía puede llegar a ejecutar el minero de manera remota y sin archivos, usando comandos que se ejecutan como tareas programadas. Aquí el software de minería se ocultaría de manera remota, no en una máquina comprometida. 

Todas las variantes encontradas tienen algo en común: tratan de cerrar la protección anti-malware e instalar el mismo código minero. En todos los casos, a menos que se encuentre la protección contra malware adecuada o se produzca su erradicación completa, Tor2Mine seguirá reinfectando sistemas en la red. 

Un minero duro de pelar

Para el investigador senior de amenazas de Sophos, Sean Gallagher, la presencia de mineros, como Tor2Mine, en una red es casi siempre un presagio de otras intrusiones potencialmente más peligrosas. Pero este ejemplar en concreto, resultaría "mucho más agresivo que otros mineros. Una vez que se ha establecido en una red, es difícil erradicarlo sin la ayuda del software de protección de terminales y otras medidas anti-malware", asegura. 

"Debido a que se propaga lateralmente desde el punto inicial de compromiso, no se puede eliminar simplemente parcheando y limpiando un sistema. El minero intentará continuamente reinfectar otros sistemas en la red", añade.

Para el experto, este tipo de amenazas sería más frecuente con el tiempo. "A medida que las criptomonedas continúan aumentando de valor y respaldan el panorama creciente del ransomware y la ciberextorsión, es muy posible que veamos que surgen más y más variantes agresivas de otros criptomineros", apostilla.