El equipo de seguridad de Akamai ha encontrado una nueva campaña en la que los desarrolladores de botnets abusan de las transacciones de la cadena de bloques de Bitcoin para ocultar las direcciones IP de sus C2.. El botnet tiene como objetivo extraer criptomonedas para los creadores y usaría la dirección de la billetera Bitcoin, su API de cadena de bloques y frases ingeniosas de bash para infectar y recuperar sus sistemas infectados en la red.
Una botnet que abusa de blockchain
Las botnets a menudo se usan para varios propósitos, como implementar ataques DDoS o extraer criptomonedas, y deben conectarse al C2 del pirata informático para recibir comandos para realizar la acción deseada como se indicó anteriormente. Estas conexiones son cruciales, ya que son los principales vectores de objetivos de los profesionales de la seguridad y las fuerzas del orden público para acabar con las redes de botnets.
Es posible rastrearlos a través de las direcciones IP que tienen, lo que eventualmente muestra la ubicación del servidor y, a veces, los datos y comandos de transmisión. Por lo tanto, los sombreros blancos a menudo se dan el gusto de encontrar estas direcciones IP de C2 de piratas informáticos en su trabajo. Pero, esto puede ser un trabajo difícil si el pirata informático configura servidores C2 de respaldo.
Esto está siendo practicado por un grupo de botnets como rastreado por los investigadores de Akamaiquien detalló que la campaña comienza con la explotación de las vulnerabilidades de RCE en Elasticsearch o Hilo Hadoop. Luego implementan secuencias de comandos para instalar escáneres de servidor Redis y encontrar objetivos de Redis adicionales.
El mecanismo para la persistencia
Esto les ayuda a instalar Malware de minería Skidmap para extraer criptomonedas y matar a los mineros existentes, modificar las claves SSH e incluso deshabilitar las funciones de seguridad. Se utilizan trabajos cron y rootkits para mantener la persistencia. Pero, para recuperar los hosts perdidos en la red, los autores deben conectar sus bots a un dominio o una dirección IP estática.
Y esto es lo que las fuerzas de seguridad atacan fácilmente para ayudarlos a acabar con la red de bots. De este modo, Se descubrió que los autores de esta campaña configuraron un C2 de respaldo y actualizaron los hosts para conectarlos a su nuevo C2 (de respaldo). Los investigadores descubrieron una dirección de billetera BTC, una URL para una API de verificación de billetera y cuatro frases ingeniosas de bash.
Lea también: Los grupos de ransomware han ganado más de $ 350 millones en 2020
Todo esto les está ayudando a cambiar a un nuevo servidor C2 para la persistencia. Como escribieron, la API está obteniendo los datos de la billetera para calcular una dirección IP, que es la nueva dirección de C2 (respaldo). Este método les ayuda a almacenar (y también ofuscar) los datos de configuración en la cadena de bloques.
Ellos explicaron, “Al ingresar una pequeña cantidad de BTC en la billetera, pueden recuperar los sistemas infectados que han quedado huérfanos”, dice Akamai. “Esencialmente, han ideado un método para distribuir información de configuración en un medio que es efectivamente invulnerable y no censurable.“
Esta técnica es excelente, pero aún tiene espacio para desarrollarse, dicen los investigadores. Aunque no explicaron dónde pueden mejorar los autores, llegaron a la conclusión de que los creadores han ganado más de $ 30,000 por valor de Monero hasta la fecha usando este sistema.
