Una botnet recién descubierta llamada NoaBot está causando estragos en el mundo de la ciberseguridad como un actor importante en el panorama de la minería de criptomonedas. Desde principios de 2023, los ciberdelincuentes han utilizado activamente NoaBot para llevar a cabo una campaña de minería de criptomonedas a gran escala. Esta campaña, una variante de la famosa red de bots Mirai, muestra un alto nivel de sofisticación y supone una amenaza considerable para los dispositivos de Internet de las Cosas (IoT) basados en Linux.
NoaBot destaca por su capacidad de auto-propagación mediante un escáner SSH para buscar nuevas víctimas y la utilización de una clave pública SSH para permitir el acceso remoto, para la descarga y ejecución de binarios adicionales. Mientras que Mirai está basado en Telnet. Este método de propagación, unido a sus técnicas de ocultación y ofuscación de código, convierten a NoaBot en una gran amenaza.
Un aspecto destacable es la inclusión de un minero XMRig modificado, que oculta su configuración y emplea un pool de minería privada evitando exponer la dirección de la billetera. Lo que dificulta evaluar la rentabilidad del proceso, esto demuestra un alto grado de preparación por parte de los autores. Los investigadores han relacionado NoaBot con el gusano P2PInfect, escrito en Rust, lo que sugiere una posible conexión entre ambas campañas, que podría implicar a los mismos actores con diferentes herramientas.
Por el momento se han identificado más de 800 IPs afectadas por NoaBot. Estos ataques se extienden por todo el mundo, con una concentración significativa en China, cercana al 10%. La naturaleza del malware y sus movimientos laterales transforma a las víctimas en atacantes, lo que contribuye a su rápida propagación.
Los expertos señalan que la mitigación de la amenaza NoaBot pasa por restringir el acceso SSH a la red a través de internet y emplear contraseñas seguras y no predeterminadas. Al utilizar el malware una lista de contraseñas basada en diccionarios.
La aparición de NoaBot destaca la evolución de las ciberamenazas en el panorama de las criptomonedas. A medida que los autores de las amenazas perfeccionan sus tácticas y desarrollan botnets más sofisticados, las organizaciones y los usuarios deben permanecer vigilantes frente a estos peligros persistentes. Mediante la aplicación de medidas de seguridad sólidas, la adopción de prácticas seguras y la actualización de los sistemas.
Federico Vadillo, Senior Solutions Engineer en Akamai Technologies
