En el año 2018, una de las tendencias en auge entre los cibercriminales era el llamado cryptojacking. Esta técnica cibercriminal implica instalar malware en equipos ajenos y utilizar su poder de procesamiento para minar criptomonedas. Ese año, las detecciones de este tipo de ciberataque crecieron un 4.000% y, en Reino Unido, hasta el 59% de las empresas se vieron afectadas por esta modalidad de ciberataque.
Sin embargo, hoy en día, el cryptojacking parece haber desaparecido casi por completo, o al menos ha perdido mucho fuelle desde que cesó su servicio Coinhive, uno de los servicios más populares para llevarlo a cabo. Los cibercriminales han empezado a recurrir a otras técnicas para ganar dinero. O así fue hasta hace poco.
Hackeo a superordenadores europeos
A mediados de mayo de 2020, múltiples superordenadores en instituciones europeas fueron infectados con malware para llevar a cabo el cryptojacking. Debido a estos incidentes, las organizaciones donde están ubicados estos superordenadores se han visto obligadas a parar sus investigaciones para estudiar estas intrusiones.
Además de incidentes en el Reino Unido, Alemania y Suiza, hay sospechas de que un superordenador en Barcelona se ha visto afectado por este malware también. El primer incidente se descubrió en la Universidad de Edimburgo el 11 de mayo, cuando se infectó el superordenador ARCHER. La institución informó de una “explotación de la seguridad de los nodos de acceso” y cerró el sistema para investigar y para resetear las contraseñas para prevenir más incidentes.
El mismo día, bhHPC, la organización que coordina los proyectos de investigación en superordenadores en Baden-Würtemburg en Alemania, anunció que había tenido que cerrar cinco de sus clusters de ordenadores debido a incidentes de seguridad parecidos.
Seguían llegando noticias de incidentes de seguridad el miércoles de la misma semana cuando, en un blogpost, el investigador de seguridad Felix von Leitner afirmó que un superordenador en Barcelona había sido infectado. En los días siguientes, llegaron noticias de infecciones en Bavaria, Múnich, Dresde y Zúrich.
¿Cómo pudieron hackear estos superordenadores?
Aunque ninguna de las instituciones afectadas publicó detalles sobre las intrusiones, el CSIRT (Computer Security Incident Response Team) de la organización EGI publicó muestras del malware y recogió indicadores de compromiso de los incidentes.
Las investigaciones que se han llevado a cabo sugieren que lo más probable es que los atacantes pudieron entrar en estos superordenadores utilizando credenciales de Secure Shell (SSH) comprometidas. Parece que los hackers robaron estas credenciales a investigadores universitarios que tenían acceso a los superordenadores para sus proyectos. Las credenciales comprometidas eran de universidades en Canadá, China y Polonia.
Una vez dentro de los ordenadores, los atacantes utilizaron un exploit de la vulnerabilidad CVE2019-15666 para obtener acceso de raíz. Con este acceso, desplegaron una aplicación para minar la criptomoneda Monero. Muchos de estos superordenadores estaban llevando a cabo investigaciones acerca del COVID-19 cuando ocurrieron estos incidentes.
Incluso los superordenadores necesitan ciberseguridad avanzada
Estos incidentes son una prueba más de que la ciberseguridad es un elemento clave en el mundo actual: ni siquiera los superordenadores más avanzados están exentos de sufrir a manos de los cibercriminales. De estos ciberataques podemos sacar dos conclusiones:
- La higiene de contraseñas es esencial para proteger los sistemas. Si utilizas una contraseña débil, tu organización puede estar muy expuesta a todo tipo de ciberincidentes. De hecho, en 2019, el 30% de las infecciones de ransomware fueron posibles gracias a una contraseña débil.
- Las vulnerabilidades deben ser parcheadas cuanto antes para evitar las intrusiones. Las vulnerabilidades han causado una letanía de incidentes a lo largo de la historia de la ciberseguridad, muchos de los cuales podrían haber sido evitados con la aplicación puntual de un parche.
Los ciberincidentes son globales y nos afectan a todos, desde los superordenadores más potentes y las multinacionales hasta las pymes y los usuarios individuales. Mantente al día con todas las novedades de ciberseguridad con Panda Security.