Compromiso de Dispositivos por Librarian Ghouls
El grupo de hackers Librarian Ghouls ha comprometido cientos de dispositivos en Rusia, utilizándolos para minar criptomonedas en lo que parece ser un caso de cryptojacking, según la firma de ciberseguridad Kaspersky. Este grupo, también conocido como Rare Werewolf, obtiene acceso a los sistemas mediante correos electrónicos de phishing que contienen malware disfrazado como mensajes de organizaciones legítimas, tales como documentos oficiales o órdenes de pago, según un informe de Kaspersky publicado el lunes. Los hackers recaban información de los dispositivos antes de proceder con la minería.
Técnicas de Infección y Control
Una vez que un ordenador se infecta con el malware, los atacantes establecen una conexión remota y deshabilitan sistemas de seguridad como Windows Defender. El dispositivo infectado también está programado para encenderse automáticamente a la 1 a.m. y apagarse a las 5 a.m.. Los hackers utilizan este intervalo para establecer un acceso remoto no autorizado y robar credenciales de inicio de sesión.
“Nuestra evaluación es que los atacantes implementan esta técnica para ocultar sus huellas y evitar que el usuario se dé cuenta de que su dispositivo ha sido secuestrado”
, indicó Kaspersky. Posteriormente, roban credenciales de inicio de sesión y recopilan información sobre la RAM disponible, núcleos de CPU y GPUs para optimizar el funcionamiento del minero de criptomonedas antes de ponerlo en marcha.
Funcionamiento del Minero y Estrategias de Ataque
Mientras el minero está en funcionamiento, los hackers mantienen una conexión con el pool de minería, enviando una solicitud cada 60 segundos, según Kaspersky.
“Observamos que los atacantes están continuamente refinando sus tácticas, abarcando no solo la exfiltración de datos, sino también la implementación de herramientas de acceso remoto y el uso de sitios de phishing para comprometer cuentas de correo electrónico”
, añadió la firma.
Campaña de Cryptojacking en Curso
Hasta ahora, la campaña de hacking, que comenzó en diciembre de 2023 y continúa activa, ha afectado a cientos de usuarios rusos, especialmente en empresas industriales y escuelas de ingeniería, con reportes de víctimas adicionales en Bielorrusia y Kazajistán. El origen del grupo aún no ha sido determinado; sin embargo, Kaspersky sostiene que los correos electrónicos de phishing están “redactados en ruso e incluyen archivos comprimidos con nombres en ruso, junto con documentos falsos en dicho idioma.”
“Esto sugiere que los objetivos primarios de esta campaña probablemente son personas que residen en Rusia o que hablan ruso”
, indicó Kaspersky.
Posibles Motivos de los Hackers
Librarian Ghouls podrían ser hacktivistas. Kaspersky especula que los Librarian Ghouls podrían ser hacktivistas que utilizan el hacking como una forma de desobediencia civil para promover una agenda política, debido al uso de técnicas comúnmente asociadas a grupos similares, como la dependencia de software legítimo de terceros.
“Una característica distintiva de esta amenaza es que los atacantes prefieren utilizar software legítimo de terceros en lugar de desarrollar sus propios binarios maliciosos”
, comentó Kaspersky. Se desconoce cuánto tiempo ha estado activo este grupo, pero otra firma de ciberseguridad rusa, BI. ZONE, mencionó en un informe del 23 de noviembre que Rare Werewolf ha existido al menos desde 2019.
