El grupo de hackers Librarian Ghouls, también conocido como Rare Werewolf, ha hackeado cientos de dispositivos rusos para la minería oculta de criptomonedas. Así lo informaron especialistas de "Laboratorio Kaspersky".
Algoritmo de infección
Los delincuentes accedieron a los sistemas a través de correos electrónicos de phishing. Están disfrazados como mensajes de organizaciones reales y parecen documentos oficiales o órdenes de pago.
Después de infectar una computadora con malware, los hackers establecen una conexión remota y desactivan los sistemas de protección, incluyendo Windows Defender. Desactivan los sistemas de seguridad, como Windows Defender. Luego, configuran el dispositivo para que se encienda automáticamente a la una de la mañana y se apague a las cinco de la mañana. Según estimaciones de "Laboratorio Kaspersky", así es como los delincuentes ocultan sus acciones del usuario.
En este período de tiempo, también roban las credenciales. Antes de iniciar el minero, los delincuentes recopilan información sobre el sistema: la cantidad de memoria RAM, el número de núcleos del procesador y los datos de la tarjeta gráfica. Esto les permite optimizar el programa para la minería de criptomonedas. Durante el funcionamiento del minero, los hackers mantienen comunicación con el pool, enviando solicitudes cada minuto.
Cuándo comenzaron los ataques
La campaña comenzó en diciembre de 2024 y continúa hasta ahora. Cientos de usuarios rusos han sido afectados, principalmente empresas industriales y universidades técnicas. Se han registrado casos aislados en Bielorrusia y Kazajistán.
El origen del grupo no está establecido. Los analistas han señalado que los correos electrónicos de phishing están redactados en ruso, contienen archivos con nombres en ruso y documentos de engaño. Esto indica que el objetivo de la campaña son probablemente los usuarios de habla rusa o los residentes de Rusia.
Los especialistas sugieren que los Librarian Ghouls pueden ser lo que se conoce como hacktivistas. El grupo utiliza software de terceros legal en lugar de desarrollar su propio código malicioso, una característica distintiva de este tipo de agrupaciones. Según otra empresa, BI.ZONE, el grupo Rare Werewolf ha estado activo al menos desde 2019.
Recordemos que en diciembre de 2024, los analistas de «Kaspersky Lab» hablaron sobre una nueva estafa en YouTube.
En mayo, el daño a la industria de las criptomonedas debido a hackeos alcanzó los $244 millones
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Los analistas informaron sobre una nueva ola de minería oculta en Rusia
El grupo de hackers Librarian Ghouls, también conocido como Rare Werewolf, ha hackeado cientos de dispositivos rusos para la minería oculta de criptomonedas. Así lo informaron especialistas de "Laboratorio Kaspersky".
Algoritmo de infección
Los delincuentes accedieron a los sistemas a través de correos electrónicos de phishing. Están disfrazados como mensajes de organizaciones reales y parecen documentos oficiales o órdenes de pago.
Después de infectar una computadora con malware, los hackers establecen una conexión remota y desactivan los sistemas de protección, incluyendo Windows Defender. Desactivan los sistemas de seguridad, como Windows Defender. Luego, configuran el dispositivo para que se encienda automáticamente a la una de la mañana y se apague a las cinco de la mañana. Según estimaciones de "Laboratorio Kaspersky", así es como los delincuentes ocultan sus acciones del usuario.
En este período de tiempo, también roban las credenciales. Antes de iniciar el minero, los delincuentes recopilan información sobre el sistema: la cantidad de memoria RAM, el número de núcleos del procesador y los datos de la tarjeta gráfica. Esto les permite optimizar el programa para la minería de criptomonedas. Durante el funcionamiento del minero, los hackers mantienen comunicación con el pool, enviando solicitudes cada minuto.
Cuándo comenzaron los ataques
La campaña comenzó en diciembre de 2024 y continúa hasta ahora. Cientos de usuarios rusos han sido afectados, principalmente empresas industriales y universidades técnicas. Se han registrado casos aislados en Bielorrusia y Kazajistán.
El origen del grupo no está establecido. Los analistas han señalado que los correos electrónicos de phishing están redactados en ruso, contienen archivos con nombres en ruso y documentos de engaño. Esto indica que el objetivo de la campaña son probablemente los usuarios de habla rusa o los residentes de Rusia.
Los especialistas sugieren que los Librarian Ghouls pueden ser lo que se conoce como hacktivistas. El grupo utiliza software de terceros legal en lugar de desarrollar su propio código malicioso, una característica distintiva de este tipo de agrupaciones. Según otra empresa, BI.ZONE, el grupo Rare Werewolf ha estado activo al menos desde 2019.
Recordemos que en diciembre de 2024, los analistas de «Kaspersky Lab» hablaron sobre una nueva estafa en YouTube.