Malware Sliver: cómo está impulsando una nueva era de criptominería ilícita

Entendiendo el auge del malware Sliver

El malware Sliver, un marco de comando y control (C2) de código abierto, surge como una herramienta poderosa entre los atacantes cibernéticos, especialmente en el ámbito de la criptominería. El conocido colectivo de criptominería conocido como TeamTNT ha comenzado a aprovechar este marco adaptable para fortalecer sus campañas, en particular las dirigidas a los entornos de nube basados en Docker.

TeamTNT ha sido un actor persistente en el panorama de la ciberseguridad, y su adopción del malware Sliver pone de relieve su continuo impulso por evolucionar y ampliar sus tácticas. Este cambio de herramientas más antiguas a Sliver les permite controlar servidores comprometidos con mayor precisión, lo que en última instancia contribuye a sus objetivos de criptominería y monetización de recursos.

Lo que pretende el malware Sliver: impulsar operaciones de criptominería

El objetivo principal del malware Sliver en las campañas de TeamTNT es tomar el control de servidores en la nube para realizar actividades de criptominería no autorizadas, a menudo denominadas cryptojacking. Una vez que Sliver se implementa en un servidor, permite a los atacantes controlar de forma remota el dispositivo, administrar scripts de criptominería y aprovechar la potencia de procesamiento del servidor para extraer criptomonedas sin el conocimiento del propietario.

Una de las principales características de Sliver es su capacidad de ejecutar una serie de comandos que respaldan esta operación encubierta de criptominería. Permite a los atacantes iniciar, monitorear y finalizar procesos de minería según sea necesario. Además, Sliver facilita la comunicación de red adicional, lo que permite a TeamTNT reclutar los dispositivos comprometidos en redes distribuidas más grandes conocidas como Docker Swarms. Esto le permite a TeamTNT orquestar esfuerzos de minería a gran escala o alquilar potencia de servidor a terceros a través de plataformas que aceptan ingresos por alquiler, creando así un modelo de ingresos sostenible para sus operaciones.

Docker como plataforma de lanzamiento: cómo TeamTNT implementa Sliver

Los ataques impulsados por Sliver de TeamTNT se dirigen principalmente a los contenedores Docker, que son populares en los entornos nativos de la nube por su escalabilidad y eficiencia. La API abierta de Docker, a la que a menudo se puede acceder si no se protege adecuadamente, proporciona un punto de entrada para que TeamTNT inyecte malware Sliver en la infraestructura. En su última campaña, TeamTNT escanea los puntos finales de la API de Docker expuestos para localizar servidores vulnerables e instalar automáticamente software de criptominería.

Una parte fundamental de esta operación implica el uso de Docker Hub como plataforma de distribución. Al alojar imágenes de Docker comprometidas con malware Sliver integrado, TeamTNT puede escalar rápidamente su campaña y propagar el malware en numerosos entornos. Una vez que se implementa un contenedor infectado con malware Sliver, este ejecuta una serie de scripts que vinculan el dispositivo a la infraestructura de comandos de TeamTNT. Esta infraestructura no solo coordina la actividad de minería, sino que también dificulta que los administradores detecten el uso no autorizado de los recursos.

Implicaciones para las empresas: fuga de recursos y riesgos de seguridad

El uso del malware Sliver para el cryptojacking tiene varias implicaciones para las empresas, en particular para aquellas que dependen en gran medida de la infraestructura en la nube. En primer lugar, el cryptojacking puede agotar significativamente los recursos computacionales, ya que la criptominería consume grandes cantidades de potencia de procesamiento. Para las empresas, esto puede traducirse en una disminución del rendimiento de las aplicaciones, mayores costos de energía y tiempos de inactividad inesperados del servidor, todo lo cual puede afectar la prestación del servicio y la satisfacción del cliente.

Además del consumo de recursos, la implementación de Sliver también presenta un conjunto complejo de desafíos de seguridad. Dado que el malware opera a través de un marco de comando y control, los atacantes pueden explotarlo para expandir su presencia dentro de una red. Este acceso ampliado abre posibilidades para actividades maliciosas adicionales, como el robo de datos, el movimiento lateral o la implementación de otras formas de software dañino. Además, la capacidad de controlar de forma remota los servidores infectados ofrece a los atacantes una plataforma para lanzar más ataques dentro o fuera de la red comprometida, lo que amplifica el riesgo para la integridad y la reputación de la empresa.

Cómo las tácticas de TeamTNT indican un panorama de amenazas cambiante

La adopción del malware Sliver refleja una tendencia más amplia en el cibercrimen hacia una mayor adaptabilidad y sofisticación. A diferencia del malware tradicional, la naturaleza de código abierto de Sliver permite a los actores de amenazas personalizarlo según sus necesidades, ya sea para mejorar el sigilo, mejorar las capacidades de control remoto o integrarlo con otro malware. Esta adaptabilidad significa que Sliver puede cumplir múltiples propósitos según las tácticas y los objetivos específicos de un actor de amenazas.

TeamTNT, en particular, demuestra un alto nivel de flexibilidad operativa. Al cambiar su enfoque y adoptar nuevas herramientas como Sliver, siguen siendo resistentes y difíciles de interrumpir. Sus operaciones, que antes se centraban únicamente en el criptojacking, ahora incorporan flujos de ingresos adicionales, como la venta de acceso a servidores comprometidos u ofrecer criptominería como servicio a otros atacantes. Este enfoque multidimensional no solo complica los esfuerzos defensivos, sino que también indica una maduración en el modelo de negocio de los grupos de criptominería ilícita.

Cómo mantenerse protegido contra malware de Sliver y amenazas similares

Para protegerse contra amenazas como Sliver, las empresas deben mantener una postura proactiva a la hora de proteger su infraestructura en la nube. Esto incluye:

  • Bloqueo del acceso a la API de Docker : los puntos finales de Docker no seguros son un punto de entrada principal para TeamTNT. Asegurarse de que las API de Docker estén configuradas de forma segura con requisitos de autenticación sólidos puede evitar el acceso no autorizado.
  • Monitoreo de actividad anormal : un rendimiento inusual del servidor o un uso elevado de la CPU pueden ser indicios de criptojacking. Al monitorear activamente el uso de los recursos, las empresas pueden detectar una posible actividad de criptojacking e investigar más a fondo.
  • Escaneo de vulnerabilidades regular : los escaneos de rutina pueden ayudar a identificar puntos expuestos o débiles en entornos de nube, lo que permite a las empresas abordar las vulnerabilidades antes de que los atacantes las exploten.

Por lo tanto, el aumento del malware Sliver ilustra un cambio significativo en la forma en que se llevan a cabo las campañas de criptominería. Para las empresas que operan en entornos de nube, comprender las tácticas y los objetivos de grupos como TeamTNT puede ser crucial para mantenerse resilientes frente a las ciberamenazas en constante evolución. Con seguridad y vigilancia en la nube, las empresas pueden proteger mejor sus sistemas para que no sean víctimas de campañas ilícitas de criptominería y las complejas repercusiones que las acompañan.

En Willa
October 28, 2024
Malware
Spanish
October 28, 2024
Malware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.