Hackers Librarian Ghouls infectan equipos para minar criptomonedas en Rusia

En un mundo cada vez más digitalizado, el criptojacking se ha convertido en una de las amenazas más insidiosas para los usuarios de tecnología. Una de las facciones más activas en este ámbito es el grupo de hackers conocido como Librarian Ghouls. Este grupo ha llevado a cabo ataques significativos, especialmente dirigidos a usuarios rusos, comprometidos para minar criptomonedas sin su consentimiento. ¿Cómo operan estos hackers y qué significa esto para el futuro de la ciberseguridad?

Cómo los hackers recopilan información sobre los dispositivos antes de minar

El modus operandi de Librarian Ghouls comienza con la infiltración de dispositivos mediante correos electrónicos de phishing, los cuales engañan a los usuarios haciéndose pasar por mensajes de organizaciones legítimas. Estos correos suelen contener archivos maliciosos que, al abrirse, permiten el acceso no autorizado al sistema.

Una vez que un ordenador ha sido infectado, los hackers establecen una conexión remota que les permite desactivar las defensas del sistema, incluyendo herramientas de seguridad como Windows Defender. Este proceso es crucial ya que facilita el control total del dispositivo sin que el usuario se dé cuenta.

Es interesante notar que el malware está diseñado para encender el dispositivo a la 1 de la madrugada y apagarlo a las 5. Este intervalo permite a los hackers operar en un entorno donde es menos probable que el usuario se dé cuenta de las actividades sospechosas. De esta manera, logran ocultar sus huellas y evitar la detección.

Las credenciales de inicio de sesión son uno de los principales objetivos de estos ataques, además de recopilar información sobre la configuración del hardware del dispositivo. Los hackers analizan la memoria RAM disponible, los núcleos de la CPU y las GPUs para determinar cómo optimizar el proceso de minería de criptomonedas.

Una vez que el sistema está en funcionamiento, los hackers envían solicitudes a un grupo de minería cada 60 segundos, lo que les permite mantener un flujo constante de criptomonedas a través de dispositivos comprometidos, lo que representa un riesgo grave tanto para los individuos como para las organizaciones.

En este contexto, es vital que los usuarios se mantengan informados sobre cómo proteger sus dispositivos. Las siguientes medidas pueden ayudar a evitar ser víctimas de ataques similares:

• Utilizar software antivirus actualizado y habilitar firewalls.
• Ser cauteloso con los correos electrónicos de remitentes desconocidos.
• Evitar abrir archivos adjuntos sospechosos.
• Implementar autenticación de dos factores en cuentas importantes.
• Monitorear el uso del dispositivo para detectar comportamientos inusuales.

La campaña de criptojacking está en curso desde 2024

Desde diciembre de 2024, la campaña de criptojacking liderada por Librarian Ghouls ha afectado a cientos de usuarios rusos, especialmente en sectores industriales y escuelas de ingeniería. Además de Rusia, se han registrado víctimas en Bielorrusia y Kazajistán, lo que indica la amplia gama de su impacto.

A pesar de la falta de información sobre el origen del grupo, Kaspersky ha señalado que los correos electrónicos utilizados en sus ataques están redactados en ruso y contienen documentos que también están en este idioma. Esto sugiere que sus objetivos están principalmente en regiones de habla rusa.

La forma en que estos hackers operan revela no solo la sofisticación de sus técnicas, sino también la necesidad de que las organizaciones implementen medidas de seguridad robustas. Algunas recomendaciones incluyen:

• Capacitación regular en ciberseguridad para todos los empleados.
• Implementación de herramientas de detección de amenazas en tiempo real.
• Revisión periódica de las políticas de seguridad cibernética.

Los Librarian Ghouls podrían ser hacktivistas

Kaspersky especula que Librarian Ghouls podría tener motivaciones de hacktivismo. Este tipo de hackeo busca objetivos políticos o sociales, utilizando la tecnología como una forma de protesta o desobediencia civil. Tal vez el uso de técnicas comunes entre grupos de hacktivistas, como la dependencia de software legítimo para llevar a cabo sus ataques, refuerce esta teoría.

Una característica distintiva de este grupo es su preferencia por utilizar software legítimo de terceros en lugar de crear sus propios programas maliciosos. Esto no solo les permite operar con mayor eficacia, sino que también complica la detección por parte de las autoridades. La utilización de herramientas ya establecidas en el mercado les da una ventaja adicional, ya que el software legítimo es menos detectable por los sistemas de seguridad comunes.

El tiempo que Librarian Ghouls ha estado activo sigue siendo un misterio. Sin embargo, otros investigadores de ciberseguridad, como BI. ZONE, han indicado que el grupo podría estar operativo desde al menos 2019, lo que sugiere una evolución constante de sus tácticas y herramientas.

Es fundamental que las empresas de ciberseguridad y las organizaciones se mantengan al tanto de las últimas tendencias y tácticas de estos grupos. La educación continua y la preparación son claves para poder enfrentar amenazas emergentes.

A medida que la tecnología avanza, también lo hacen las técnicas de los hackers. La colaboración entre diferentes sectores, desde la educación hasta la industria, será crucial para mitigar los riesgos asociados con el criptojacking y otras formas de ciberataques.

Para aquellos interesados en un análisis más profundo sobre la evolución de las amenazas cibernéticas y la respuesta de las organizaciones, se puede consultar este video que explora los aspectos más destacados de la ciberseguridad:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.