Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan el hallazgo de una nueva variante de ransomware especialmente dirigida contra las plataformas de minado de Bitcoin. Hasta ahora, la mayoría de los casos de infección conocidos han sido reportados en China, puesto que este es el país que cuenta con más equipos dedicados a la minería de criptomoneda en el mundo.
Bautizado como hAnt, este nuevo ransomware fue detectado por primera vez en agosto de 2018, aunque la verdadera propagación de este software malicioso comenzó apenas hace un par de semanas.
Acorde a los expertos en seguridad en redes, la mayoría de los dispositivos de minería infectados son Antminer S9 y T9, usados primordialmente para el minado de Bitcoin. También se registran infecciones de hAnt en equipos Antminer L3, para la extracción de Litecoin. Otros dispositivos para minado de Bitcoin, como el Avalon Miner, también han sido infectados, aunque en menor medida.
Aún se desconoce el método utilizado por los atacantes para infectar los dispositivos, aunque algunos especialistas en seguridad en redes radicados en China teorizan que hAnt es capaz de ocultarse dentro de las versiones contaminadas del firmware de los dispositivos de minería.
Según la evidencia recolectada hasta ahora, una vez que hAnt infecta la plataforma, el dispositivo es bloqueado, impidiendo la extracción de cualquier activo virtual. Cuando los administradores se conectan vía remota o manual a sus dispositivos, se encuentran con una pantalla de inicio mostrando la ilustración de una hormiga y dos piquetas en caracteres ASCII, de modo similar a la pantalla de inicio mostrada en otras variantes de ransomware. Al realizar cualquier interacción en la pantalla de inicio, se carga la nota de rescate de hAnt, redactada en inglés y en chino.
En la nota de rescate a las víctimas se les ofrecen dos opciones: Pueden pagar el rescate de 10 Bitcoin (alrededor de 35 mil dólares), o pueden descargar una actualización del firmware malicioso para infectar otros mil dispositivos de minería. La nota amenaza con sobrecalentar y quemar el dispositivo si no se cumple alguna de estas dos condiciones.
Aún no existen registros de dispositivos destruidos, lo que hace suponer a los expertos que esta amenaza es falsa. No obstante, los expertos creen que hAnt sí es capaz de abusar de una de las características de Antminer para sobrecalentar los dispositivos. Los expertos también afirman que hAnt es capaz de propagarse por sí mismo hacia otras plataformas de minería conectadas a la misma red, aunque se desconocen mayores detalles sobre esta afirmación.
Algunas de las víctimas de esta infección reportan pérdidas considerables debido al tiempo que requiere volver a flashear la tarjeta SD del dispositivo de minería, eliminar la infección e instalar de nuevo el firmware.
Bitmain, la empresa desarrolladora de las plataformas Antminer, lanzó el año pasado una alerta de seguridad solicitando a sus usuarios no instalar firmware descargado de plataformas no oficiales, por lo que los usuarios deben tener precaución al momento de eliminar la infección de hAnt.
Fuente: https://noticiasseguridad.com/
