{"id":12917,"date":"2019-05-30T00:00:00","date_gmt":"2019-05-30T00:00:00","guid":{"rendered":"<p style=\"text-align: justify\">M\u00e1s de 50,000 servidores que ejecutan MS-SQL y PHPMyAdmin de Windows en todo el mundo han sido v\u00edctimas de un nuevo tipo de <strong>malware relacionado con criptomonedas<\/strong> que se cree proviene de <strong><a href=\"http"},"modified":"2019-05-30T00:00:00","modified_gmt":"2019-05-30T00:00:00","slug":"investigadores-identifican-el-malware-de-cryptojacking-chino-que-ha-infectado-a-mas-de-50000-servidores-en-todo-el-mundo","status":"publish","type":"post","link":"https:\/\/crypto-economy.com\/es\/investigadores-identifican-el-malware-de-cryptojacking-chino-que-ha-infectado-a-mas-de-50000-servidores-en-todo-el-mundo\/","title":{"rendered":"Investigadores identifican el malware de cryptojacking chino que ha infectado a m\u00e1s de 50,000 servidores en todo el mundo"},"content":{"rendered":"<p style=\"text-align: justify\">M\u00e1s de 50,000 servidores que ejecutan MS-SQL y PHPMyAdmin de Windows en todo el mundo han sido v\u00edctimas de un nuevo tipo de <strong>malware relacionado con criptomonedas<\/strong> que se cree proviene de <strong><a href=\"https:\/\/crypto-economy.com\/es\/apenas-una-semana-despues-de-que-cryptopia-entrara-en-el-proceso-de-liquidacion-mas-de-30-000-eth-se-transfirieron\/\" target=\"_blank\" rel=\"noopener\">hackers<\/a> <\/strong>chinos.<\/p>\n<p><!--more--><\/p>\n<p style=\"text-align: justify\"><a href=\"https:\/\/www.guardicore.com\/2019\/05\/nansh0u-campaign-hackers-arsenal-grows-stronger\/\" target=\"_blank\" rel=\"noopener\"><strong> Guardicore Labs<\/strong><\/a>, un equipo de hackers internacionales y expertos en seguridad cibern\u00e9tica <strong>ha identificado el malware<\/strong> y, seg\u00fan se informa, han estado rastreando sus actividades durante los \u00faltimos dos meses.<\/p>\n<p style=\"text-align: justify\">En un informe publicado por Guardicore el mi\u00e9rcoles 29 de mayo, el grupo de seguridad afirma que el malware se ha utilizado para infectar sistemas que pertenecen a compa\u00f1\u00edas en los sectores de salud, telecomunicaciones, medios y TI que utilizan el poder de procesamiento secuestrado para minar una criptomoneda enfocada en la privacidad llamada Turtle coin (TRTL).<\/p>\n<p><a href=\"https:\/\/crypto-economy.com\/es\/wp-content\/uploads\/sites\/4\/2022\/12\/nanshou.jpg\"><img fetchpriority=\"high\" decoding=\"async\" class=\"aligncenter size-full wp-image-178691\" src=\"https:\/\/crypto-economy.com\/es\/wp-content\/uploads\/sites\/4\/2022\/12\/nanshou.jpg\" alt=\"\" width=\"700\" height=\"245\" \/><\/a><\/p>\n<p style=\"text-align: justify\">La mayor\u00eda de los servidores actualmente infectados han sido identificados en China, Estados Unidos e India. Sin embargo, los investigadores tambi\u00e9n informan que el resto de los servidores est\u00e1n distribuidos en al menos otros 90 pa\u00edses.<\/p>\n<p style=\"text-align: center\"><em> \u201cUna vez comprometidos, los servidores de destino se infectaron con cargas \u00fatiles maliciosas. Estos, a su vez, dejaron caer un crypto-minero e instalaron un sofisticado rootkit de modo kernel para evitar que el malware se termine \u201d, <\/em>se lee en el informe.<\/p>\n<p style=\"text-align: justify\">Lo detectaron por primera vez en abril de este a\u00f1o cuando el malware infect\u00f3 una red de servidores controlados por la Guardicore Global Sensor Network (GGSN). Una vez que los investigadores identificaron el ataque, comenzaron a rastrear el malware para averiguar el alcance del ataque e identificar la amenaza.<\/p>\n<p style=\"text-align: justify\">Pronto descubrieron un camino que lleva a las actividades de malware que datan de dos meses antes del 26 de febrero. Durante los \u00faltimos dos meses, entre las fechas del 13 de abril y 13 de mayo, los investigadores informaron que el malware infect\u00f3 al menos 47,985 servidores que se expanden a una tasa de m\u00e1s de \u00absetecientas nuevas v\u00edctimas por d\u00eda\u00bb.<\/p>\n<p style=\"text-align: justify\">El an\u00e1lisis detallado de la amenaza descubri\u00f3 que el malware es m\u00e1s avanzado que el malware normal de criptograf\u00eda. Por un lado, la amenaza se propaga a trav\u00e9s de t\u00e9cnicas como certificados falsos y explotaciones de escalamiento de privilegios com\u00fanmente utilizadas en amenazas persistentes avanzadas.<\/p>\n<p style=\"text-align: justify\">Los investigadores identificaron una frase com\u00fan en las cadenas de archivos de texto del malware almacenadas en los servidores del atacante, Nansh0u, que tambi\u00e9n le dio a los investigadores el nombre del malware.<\/p>\n<p style=\"text-align: justify\">Guardicore cree que los atacantes detr\u00e1s del malware son actores de la amenaza sin\u00f3fona china porque la mayor\u00eda de las herramientas en el malware (es decir, la carga \u00fatil) est\u00e1n escritas en el lenguaje de programaci\u00f3n basado en chino EPL.<\/p>\n<p style=\"text-align: justify\">Los investigadores tambi\u00e9n encontraron una serie de otras cadenas de texto dentro de los archivos de origen escritos en el mismo idioma.<\/p>\n<p style=\"text-align: justify\">Seg\u00fan afirman los investigadores, las herramientas que emplea el malware pueden ser herramientas que tradicionalmente han sido empleadas por atacantes con mayor habilidad, pero la campa\u00f1a de Nansh0u ha demostrado que incluso los piratas inform\u00e1ticos menos expertos ahora pueden ejecutar un ataque altamente sofisticado.<\/p>\n<p style=\"text-align: center\"><em>\u00abLa campa\u00f1a Nansh0u no es un ataque t\u00edpico de cripto-minero\u00bb, <\/em>afirma el informe.<\/p>\n<p style=\"text-align: justify\">Los investigadores han incluido un script para que los administradores de sistemas lo utilicen para escanear sus servidores en busca de este malware y aconseja a aquellos que a\u00fan no se han infectado que implementen contrase\u00f1as m\u00e1s seguras, ya que \u00abesta campa\u00f1a demuestra una vez m\u00e1s que las contrase\u00f1as comunes a\u00fan constituyen el enlace m\u00e1s d\u00e9bil en los flujos de ataque de hoy\u00bb.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>M\u00e1s de 50,000 servidores que ejecutan MS-SQL y PHPMyAdmin de Windows en todo el mundo han sido v\u00edctimas de un nuevo tipo de malware relacionado con criptomonedas que se cree proviene de hackers chinos.<\/p>\n","protected":false},"author":5,"featured_media":12919,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_title":"","rank_math_description":"","footnotes":""},"categories":[918,915],"tags":[],"class_list":["post-12917","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-companias","category-featured"],"_links":{"self":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/12917","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/comments?post=12917"}],"version-history":[{"count":0,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/posts\/12917\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/media\/12919"}],"wp:attachment":[{"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/media?parent=12917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/categories?post=12917"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/crypto-economy.com\/es\/wp-json\/wp\/v2\/tags?post=12917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}