<![CDATA[GETOVERX FORUM Community Support - Cryptojackers]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 09:51:09 +0000 MyBB <![CDATA[Kinsing – Cryptominer/Botnet – 2020]]> https://forum.getoverx.com/showthread.php?tid=83 Sat, 29 Nov 2025 16:27:45 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=83 Nombre:
Kinsing (también referenciado como H2Miner en múltiples reportes)

Categoría:
Cryptominer (Monero) / Botnet / Cloud & Container Malware (Linux-focused)

Fecha de descubrimiento:
Abril 2020 (reportes públicos tempranos lo documentan activo desde 2020)

Comportamiento (lo que hace y archivos que infecta):
- Kinsing es una operación de cryptojacking orientada a comprometer servidores y entornos cloud/container para minar Monero (XMR).
- Vector de entrada típico:
  - Explotación de superficies expuestas o mal configuradas en infraestructura (por ejemplo, APIs/servicios accesibles públicamente en hosts con contenedores).
  - Explotación de vulnerabilidades (RCE) en software expuesto para obtener ejecución remota y desplegar el loader/instalador del miner.
- Acciones posteriores a la intrusión:
  - Descarga y ejecución de payloads (scripts + binarios ELF) para instalar el miner y sus componentes de control.
  - Ejecución y persistencia del minero (frecuentemente XMRig o variantes adaptadas).
  - Evasión y “monopolio” de recursos: en campañas observadas, intenta eliminar otros mineros/procesos rivales y desactivar herramientas/controles para mantener el rendimiento de minado.
  - En variantes, se ha observado uso de técnicas de ocultamiento en Linux (por ejemplo, mecanismos tipo userland rootkit / LD_PRELOAD) para dificultar la detección del proceso y artefactos.
- Impacto:
  - Alto consumo de CPU (y a veces GPU si disponible), degradación de rendimiento, costos cloud elevados, posible inestabilidad del host y afectación de workloads en Kubernetes/Docker.

Persistencia:
- Persistencia común observada en Linux/cloud:
  - Cron jobs (incluyendo @reboot o ejecuciones periódicas) para relanzar el minero/loader.
  - Servicios systemd o scripts de inicio (dependiendo de la distro) para reinicio automático tras reboot.
  - Copias del payload en rutas del sistema o directorios temporales con nombres “legítimos”, buscando pasar desapercibido.
- En ambientes con contenedores, puede apoyarse en scripts que se ejecutan desde el host y reintroducen el payload aunque el contenedor sea recreado.

Hash real de referencia (SHA-256):
Code:
591d605c3bfebd4b28a1e57af9f066152d0bb4bf73e25d1ced8e83bc59675f6e

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar escaneo completo del host (y rutas donde normalmente aterrizan droppers/miners):
      - /tmp, /var/tmp, /dev/shm, $HOME, /var/lib, /usr/local/bin (según aplique al endpoint).
    - Cuarentenar/eliminar binarios ELF y scripts asociados al miner/loader.
    - Re-escanear para confirmar que no existan copias redundantes o reinstaladores.

  • Firewall:
    - Bloquear exposición no autorizada de superficies típicas atacadas:
      - Docker API sin TLS (por ejemplo 2375) y restringirla a red administrativa/localhost.
      - Restringir accesos a servicios de orquestación/gestión a redes de administración (principio de mínimo acceso).
    - Cortar egress sospechoso:
      - Bloquear conexiones a pools de minería y destinos no autorizados; aplicar allowlist de salida si el entorno lo permite.

  • HIPS/EDR:
    - Activar monitoreo de comportamiento enfocado a cloud/container hosts:
      - Ejecución de curl/wget seguida de ejecución de binarios desde /tmp o /dev/shm.
      - Creación/modificación de cron y unidades systemd inesperadas.
      - Procesos con alto CPU sostenido asociados a binarios no firmados/no estándar.
      - Aparición de técnicas de ocultamiento (procesos “invisibles”, uso anómalo de LD_PRELOAD, intentos de matar procesos de seguridad o mineros competidores).
    - Respuesta recomendada:
      - Kill process del minero y del instalador/loader.
      - Bloqueo por hash del binario detectado (y artefactos secundarios).
      - Generar evidencia: árbol de procesos, persistencia creada, e indicadores de red para hunting.

  • Sandbox:
    - Usar Sandbox para analizar:
      - Scripts/instaladores descargados en servidores (especialmente “one-liners” de shell), imágenes de contenedor de origen no validado, y herramientas obtenidas fuera de repositorios oficiales.
    - Señales a observar:
      - Descarga de binarios ELF, modificación de cron/systemd, y conexiones a destinos de minería.

  • Medidas posteriores al incidente:
    - Corregir la causa raíz:
      - Cerrar puertos expuestos, endurecer Docker/Kubernetes (TLS, autenticación, RBAC), y aplicar parches de servicios vulnerables.
    - Rotar credenciales/keys administrativas si hubo indicios de acceso interactivo o robo de secretos.
    - Auditar:
      - Cron/systemd, scripts de inicio, usuarios nuevos, llaves SSH agregadas, jobs inusuales y cambios de firewall.
    - Revisar costos/telemetría cloud y consumo de recursos para determinar ventana de compromiso y alcance.

Notas opcionales:
- Kinsing es una campaña activa y evolutiva enfocada en infraestructura Linux/cloud; se le atribuye un historial de explotación de múltiples superficies (misconfiguraciones y vulnerabilidades) para desplegar mineros y mantener persistencia.
- También se documenta su relación con el ecosistema “H2Miner” y el uso de técnicas de ocultamiento (incluyendo enfoques tipo rootkit en algunas variantes).]]> Nombre:
Kinsing (también referenciado como H2Miner en múltiples reportes)

Categoría:
Cryptominer (Monero) / Botnet / Cloud & Container Malware (Linux-focused)

Fecha de descubrimiento:
Abril 2020 (reportes públicos tempranos lo documentan activo desde 2020)

Comportamiento (lo que hace y archivos que infecta):
- Kinsing es una operación de cryptojacking orientada a comprometer servidores y entornos cloud/container para minar Monero (XMR).
- Vector de entrada típico:
  - Explotación de superficies expuestas o mal configuradas en infraestructura (por ejemplo, APIs/servicios accesibles públicamente en hosts con contenedores).
  - Explotación de vulnerabilidades (RCE) en software expuesto para obtener ejecución remota y desplegar el loader/instalador del miner.
- Acciones posteriores a la intrusión:
  - Descarga y ejecución de payloads (scripts + binarios ELF) para instalar el miner y sus componentes de control.
  - Ejecución y persistencia del minero (frecuentemente XMRig o variantes adaptadas).
  - Evasión y “monopolio” de recursos: en campañas observadas, intenta eliminar otros mineros/procesos rivales y desactivar herramientas/controles para mantener el rendimiento de minado.
  - En variantes, se ha observado uso de técnicas de ocultamiento en Linux (por ejemplo, mecanismos tipo userland rootkit / LD_PRELOAD) para dificultar la detección del proceso y artefactos.
- Impacto:
  - Alto consumo de CPU (y a veces GPU si disponible), degradación de rendimiento, costos cloud elevados, posible inestabilidad del host y afectación de workloads en Kubernetes/Docker.

Persistencia:
- Persistencia común observada en Linux/cloud:
  - Cron jobs (incluyendo @reboot o ejecuciones periódicas) para relanzar el minero/loader.
  - Servicios systemd o scripts de inicio (dependiendo de la distro) para reinicio automático tras reboot.
  - Copias del payload en rutas del sistema o directorios temporales con nombres “legítimos”, buscando pasar desapercibido.
- En ambientes con contenedores, puede apoyarse en scripts que se ejecutan desde el host y reintroducen el payload aunque el contenedor sea recreado.

Hash real de referencia (SHA-256):
Code:
591d605c3bfebd4b28a1e57af9f066152d0bb4bf73e25d1ced8e83bc59675f6e

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar escaneo completo del host (y rutas donde normalmente aterrizan droppers/miners):
      - /tmp, /var/tmp, /dev/shm, $HOME, /var/lib, /usr/local/bin (según aplique al endpoint).
    - Cuarentenar/eliminar binarios ELF y scripts asociados al miner/loader.
    - Re-escanear para confirmar que no existan copias redundantes o reinstaladores.

  • Firewall:
    - Bloquear exposición no autorizada de superficies típicas atacadas:
      - Docker API sin TLS (por ejemplo 2375) y restringirla a red administrativa/localhost.
      - Restringir accesos a servicios de orquestación/gestión a redes de administración (principio de mínimo acceso).
    - Cortar egress sospechoso:
      - Bloquear conexiones a pools de minería y destinos no autorizados; aplicar allowlist de salida si el entorno lo permite.

  • HIPS/EDR:
    - Activar monitoreo de comportamiento enfocado a cloud/container hosts:
      - Ejecución de curl/wget seguida de ejecución de binarios desde /tmp o /dev/shm.
      - Creación/modificación de cron y unidades systemd inesperadas.
      - Procesos con alto CPU sostenido asociados a binarios no firmados/no estándar.
      - Aparición de técnicas de ocultamiento (procesos “invisibles”, uso anómalo de LD_PRELOAD, intentos de matar procesos de seguridad o mineros competidores).
    - Respuesta recomendada:
      - Kill process del minero y del instalador/loader.
      - Bloqueo por hash del binario detectado (y artefactos secundarios).
      - Generar evidencia: árbol de procesos, persistencia creada, e indicadores de red para hunting.

  • Sandbox:
    - Usar Sandbox para analizar:
      - Scripts/instaladores descargados en servidores (especialmente “one-liners” de shell), imágenes de contenedor de origen no validado, y herramientas obtenidas fuera de repositorios oficiales.
    - Señales a observar:
      - Descarga de binarios ELF, modificación de cron/systemd, y conexiones a destinos de minería.

  • Medidas posteriores al incidente:
    - Corregir la causa raíz:
      - Cerrar puertos expuestos, endurecer Docker/Kubernetes (TLS, autenticación, RBAC), y aplicar parches de servicios vulnerables.
    - Rotar credenciales/keys administrativas si hubo indicios de acceso interactivo o robo de secretos.
    - Auditar:
      - Cron/systemd, scripts de inicio, usuarios nuevos, llaves SSH agregadas, jobs inusuales y cambios de firewall.
    - Revisar costos/telemetría cloud y consumo de recursos para determinar ventana de compromiso y alcance.

Notas opcionales:
- Kinsing es una campaña activa y evolutiva enfocada en infraestructura Linux/cloud; se le atribuye un historial de explotación de múltiples superficies (misconfiguraciones y vulnerabilidades) para desplegar mineros y mantener persistencia.
- También se documenta su relación con el ecosistema “H2Miner” y el uso de técnicas de ocultamiento (incluyendo enfoques tipo rootkit en algunas variantes).]]> <![CDATA[ProxyShellMiner – Cryptominer/Loader – 2023]]> https://forum.getoverx.com/showthread.php?tid=82 Sat, 29 Nov 2025 16:27:09 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=82 Nombre:
ProxyShellMiner

Categoría:
Cryptominer (Monero/XMR) / Loader (post-explotación en servidores)

Fecha de descubrimiento:
Febrero 2023 (campaña observada públicamente)

Comportamiento (lo que hace y archivos que infecta):
- ProxyShellMiner es una campaña/malware orientado a comprometer Microsoft Exchange on-prem explotando la cadena conocida como ProxyShell para obtener ejecución remota.
- Vía de entrada:
- Explotación de vulnerabilidades ProxyShell en servidores Exchange expuestos o sin parches (típicamente sobre HTTPS/443).
- Acciones posteriores:
- Uso de PowerShell (frecuentemente ofuscado) para descargar y ejecutar componentes adicionales (scripts/binaries).
- Instalación/ejecución de mineros de criptomonedas (Monero/XMR) y, en algunos casos, componentes de “backdoor” o webshell para mantener acceso.
- Consumo anómalo y sostenido de CPU/RAM en el servidor comprometido.
- Puede dejar artefactos en rutas temporales o de sistema (scripts, EXE/DLL) y crear tareas/procesos para relanzar el minero si se detiene.

Persistencia:
- Persistencia típica observada en campañas de cryptomining post-explotación:
- Tareas programadas para ejecución recurrente o al inicio.
- Claves Run/RunOnce (cuando aplica) para relanzar loaders.
- Servicios o “watchdogs” simples que monitorean y reinician el minero.
- En escenarios Exchange, es común el uso de webshells (ASPX) o archivos “drop” para retomar control si se pierde la sesión.
- En algunas intrusiones se ha reportado abuso de recursos compartidos internos (por ejemplo, rutas accesibles por la organización) para facilitar ejecución repetida.

Hash real de referencia (SHA-256):
Code:
91d2bf94a96f1b02014fbf57c6c2f01d4fbf7a9620f8daebbc846a7f99fc3f16

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan del servidor para identificar:
    - Payloads de minado (binaries tipo miner) y scripts descargados.
    - Herramientas auxiliares (droppers, loaders) dejadas en rutas temporales o de sistema.
    - Poner en cuarentena el ejecutable principal y cualquier “watchdog”/relanzador asociado.
    - Repetir el escaneo tras limpieza para confirmar que no reaparecen artefactos (señal de persistencia activa).

  • Firewall:
    - Restringir acceso a Exchange únicamente a orígenes autorizados (IP/VPN/segmentos definidos) y bloquear intentos no autorizados al frontend web.
    - Bloquear egress sospechoso:
    - Conexiones salientes no justificadas desde el servidor Exchange hacia Internet.
    - Tráfico a destinos no autorizados (muy útil para cortar comunicación con infraestructura de minado/C2).
    - Si se confirma compromiso, aislar el host temporalmente mientras se erradica la persistencia.

  • HIPS/EDR:
    - Activar detecciones de comportamiento centradas en Exchange:
    - CPU anómalo sostenido (picos prolongados) en procesos no esperados.
    - PowerShell con indicios de descarga/ejecución remota (IEX/EncodedCommand/ofuscación), y cadenas: IIS/Exchange → cmd.exe → powershell.exe.
    - Creación de tareas programadas o servicios nuevos sin cambio aprobado.
    - Escritura de archivos inusuales en rutas web de Exchange/IIS (posibles webshells ASPX).
    - Respuesta recomendada:
    - Kill process del miner/loader.
    - Bloqueo por hash del binario identificado.
    - Registrar evidencia (árbol de procesos + artefactos creados) para hunting interno y validación de erradicación.

  • Sandbox:
    - Usar Sandbox para analizar de forma aislada:
    - Scripts/archivos descargados encontrados durante la respuesta (dropper, PS1, EXE sospechosos).
    - Adjuntos/instaladores no confiables si el incidente se originó por ejecución manual adicional.
    - Objetivo: confirmar si el artefacto intenta descargar payloads, crear tareas/servicios, o iniciar minado.

  • Medidas posteriores al incidente:
    - Aplicar parches de Exchange que corrigen ProxyShell y validar el nivel de CU/SU correspondiente.
    - Rotar credenciales administrativas y revisar accesos privilegiados, especialmente si hubo ejecución remota.
    - Revisar persistencia:
    - Tareas programadas, servicios, rutas temporales, y directorios web de Exchange/IIS.
    - Auditoría de integridad:
    - Verificar archivos de configuración críticos, y revisar logs de IIS/Exchange para detectar el vector y la ventana temporal del compromiso.

Notas opcionales:
- ProxyShellMiner suele encajar en intrusiones “rápidas” orientadas a monetización (minado), pero la explotación de Exchange también puede habilitar cargas más severas si el atacante decide pivotar o desplegar otros payloads.]]> Nombre:
ProxyShellMiner

Categoría:
Cryptominer (Monero/XMR) / Loader (post-explotación en servidores)

Fecha de descubrimiento:
Febrero 2023 (campaña observada públicamente)

Comportamiento (lo que hace y archivos que infecta):
- ProxyShellMiner es una campaña/malware orientado a comprometer Microsoft Exchange on-prem explotando la cadena conocida como ProxyShell para obtener ejecución remota.
- Vía de entrada:
- Explotación de vulnerabilidades ProxyShell en servidores Exchange expuestos o sin parches (típicamente sobre HTTPS/443).
- Acciones posteriores:
- Uso de PowerShell (frecuentemente ofuscado) para descargar y ejecutar componentes adicionales (scripts/binaries).
- Instalación/ejecución de mineros de criptomonedas (Monero/XMR) y, en algunos casos, componentes de “backdoor” o webshell para mantener acceso.
- Consumo anómalo y sostenido de CPU/RAM en el servidor comprometido.
- Puede dejar artefactos en rutas temporales o de sistema (scripts, EXE/DLL) y crear tareas/procesos para relanzar el minero si se detiene.

Persistencia:
- Persistencia típica observada en campañas de cryptomining post-explotación:
- Tareas programadas para ejecución recurrente o al inicio.
- Claves Run/RunOnce (cuando aplica) para relanzar loaders.
- Servicios o “watchdogs” simples que monitorean y reinician el minero.
- En escenarios Exchange, es común el uso de webshells (ASPX) o archivos “drop” para retomar control si se pierde la sesión.
- En algunas intrusiones se ha reportado abuso de recursos compartidos internos (por ejemplo, rutas accesibles por la organización) para facilitar ejecución repetida.

Hash real de referencia (SHA-256):
Code:
91d2bf94a96f1b02014fbf57c6c2f01d4fbf7a9620f8daebbc846a7f99fc3f16

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan del servidor para identificar:
    - Payloads de minado (binaries tipo miner) y scripts descargados.
    - Herramientas auxiliares (droppers, loaders) dejadas en rutas temporales o de sistema.
    - Poner en cuarentena el ejecutable principal y cualquier “watchdog”/relanzador asociado.
    - Repetir el escaneo tras limpieza para confirmar que no reaparecen artefactos (señal de persistencia activa).

  • Firewall:
    - Restringir acceso a Exchange únicamente a orígenes autorizados (IP/VPN/segmentos definidos) y bloquear intentos no autorizados al frontend web.
    - Bloquear egress sospechoso:
    - Conexiones salientes no justificadas desde el servidor Exchange hacia Internet.
    - Tráfico a destinos no autorizados (muy útil para cortar comunicación con infraestructura de minado/C2).
    - Si se confirma compromiso, aislar el host temporalmente mientras se erradica la persistencia.

  • HIPS/EDR:
    - Activar detecciones de comportamiento centradas en Exchange:
    - CPU anómalo sostenido (picos prolongados) en procesos no esperados.
    - PowerShell con indicios de descarga/ejecución remota (IEX/EncodedCommand/ofuscación), y cadenas: IIS/Exchange → cmd.exe → powershell.exe.
    - Creación de tareas programadas o servicios nuevos sin cambio aprobado.
    - Escritura de archivos inusuales en rutas web de Exchange/IIS (posibles webshells ASPX).
    - Respuesta recomendada:
    - Kill process del miner/loader.
    - Bloqueo por hash del binario identificado.
    - Registrar evidencia (árbol de procesos + artefactos creados) para hunting interno y validación de erradicación.

  • Sandbox:
    - Usar Sandbox para analizar de forma aislada:
    - Scripts/archivos descargados encontrados durante la respuesta (dropper, PS1, EXE sospechosos).
    - Adjuntos/instaladores no confiables si el incidente se originó por ejecución manual adicional.
    - Objetivo: confirmar si el artefacto intenta descargar payloads, crear tareas/servicios, o iniciar minado.

  • Medidas posteriores al incidente:
    - Aplicar parches de Exchange que corrigen ProxyShell y validar el nivel de CU/SU correspondiente.
    - Rotar credenciales administrativas y revisar accesos privilegiados, especialmente si hubo ejecución remota.
    - Revisar persistencia:
    - Tareas programadas, servicios, rutas temporales, y directorios web de Exchange/IIS.
    - Auditoría de integridad:
    - Verificar archivos de configuración críticos, y revisar logs de IIS/Exchange para detectar el vector y la ventana temporal del compromiso.

Notas opcionales:
- ProxyShellMiner suele encajar en intrusiones “rápidas” orientadas a monetización (minado), pero la explotación de Exchange también puede habilitar cargas más severas si el atacante decide pivotar o desplegar otros payloads.]]> <![CDATA[KingMiner – Cryptominer – 2018]]> https://forum.getoverx.com/showthread.php?tid=53 Sat, 29 Nov 2025 16:00:27 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=53 Nombre:
KingMiner (también referido como “Kingminer botnet” en reportes; en algunos análisis se describe como una operación/campaña de cryptojacking más que una sola muestra)

Categoría:
Cryptominer (Monero/XMR) / Botnet

Fecha de descubrimiento:
2018 (reportado como “nuevo” en 2018 y documentado con actividad sostenida en años posteriores)

Comportamiento (lo que hace y archivos que infecta):
- KingMiner compromete principalmente servidores Windows con Microsoft SQL Server (MSSQL) y, en algunas campañas, infraestructura relacionada (p. ej., IIS en el mismo host).
- Vector de entrada típico:
  - Fuerza bruta / password spraying contra cuentas de MSSQL (por ejemplo, “sa” o cuentas con contraseñas débiles) en servidores expuestos a Internet o sin segmentación.
  - En entornos comprometidos, puede usar credenciales reutilizadas o filtradas para obtener acceso inicial.
- Acciones posteriores:
  - Ejecución remota de comandos a través de MSSQL (frecuentemente habilitando/abusando de capacidades administrativas) para lanzar:
    - PowerShell (a menudo ofuscado) para descargar y ejecutar payloads.
    - Herramientas “living-off-the-land” para descarga/ejecución (según variante): cmd.exe, certutil, bitsadmin, wscript/cscript, etc.
  - Descarga e instalación de un minero de Monero (comúnmente basado en XMRig o variantes empaquetadas) y componentes auxiliares (watchdog/loader).
  - Consumo elevado de CPU sostenido, degradando rendimiento del servidor y afectando servicios/productividad.
  - En campañas observadas, puede intentar eliminar otros mineros rivales y/o ajustar el entorno para mantener el control del host y la rentabilidad del minado.
  - Algunas versiones emplean técnicas para dificultar el bloqueo de infraestructura (por ejemplo, rotación dinámica de dominios/servidores de descarga en ciertos reportes).

Persistencia:
- Persistencia típica en Windows Server:
  - Tareas programadas para relanzar el minero o su “watchdog” al inicio o periódicamente.
  - Servicios Windows creados con nombres que intentan parecer legítimos para ejecución continua.
  - Entradas de inicio (Run/RunOnce) en el Registro en variantes menos sofisticadas.
- Objetivo de la persistencia: asegurar que el minero se reinicie si el proceso se detiene, y mantener control frente a limpieza parcial o reinicios.

Hash real de referencia (SHA-256):
Code:
88f55cbeea513fd37c97e5f152eb5f7c8cbe9e353406d39ef4b0d4120a3f175a

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan del servidor y cuarentenar/eliminar:
      - Binarios del minero, loaders/watchdogs y scripts descargados.
    - Recomendación práctica: realizar un segundo escaneo focalizado en rutas frecuentes de dropper y persistencia:
      - %TEMP%, %APPDATA%, %LOCALAPPDATA%, C:\ProgramData\, y directorios donde el EDR detecte ejecución reciente.
    - Si hay múltiples hosts MSSQL, escanear también servidores “adyacentes” (movimiento lateral operacional suele seguir contraseñas reutilizadas).

  • Firewall:
    - Bloquear exposición pública innecesaria de MSSQL:
      - Restringir el puerto de SQL Server (p. ej., 1433) a redes/hosts autorizados (VPN, subredes internas, jump hosts).
    - Aplicar egress control desde el servidor:
      - Bloquear conexiones salientes no justificadas (especialmente hacia destinos desconocidos), útil para cortar pools/C2/descargas.
    - Si se confirma compromiso, aislar temporalmente el host hasta erradicar persistencia y rotar credenciales.

  • HIPS/EDR:
    - Activar detecciones de comportamiento enfocadas a MSSQL/servidores:
      - CPU anómalo sostenido (picos prolongados) por procesos no esperados.
      - Cadena: sqlservr.exe (o proceso relacionado) → cmd.exe/powershell.exe → descarga/ejecución.
      - PowerShell ofuscado / EncodedCommand / IEX + descarga remota.
      - Creación de Scheduled Tasks o Servicios nuevos sin cambio aprobado.
      - Eliminación de procesos “competidores” o intentos de desactivar defensas/telemetría.
    - Respuesta recomendada:
      - Kill process del minero y de su watchdog.
      - Block by hash del binario detectado y de instaladores asociados.
      - Registrar evidencia (árbol de procesos + persistencia) para hunting y verificación de erradicación.

  • Sandbox:
    - Usar Sandbox para analizar de forma aislada:
      - Scripts/binaries encontrados en el servidor (PS1/BAT/EXE sospechosos) antes de ejecutarlos para “ver qué hacen”.
    - Señales clave:
      - Descarga de payloads, creación de tareas/servicios y conexiones salientes repetitivas.

  • Medidas posteriores al incidente:
    - Corregir causa raíz:
      - Cambiar credenciales de MSSQL (incluyendo “sa” si existe), forzar contraseñas robustas, deshabilitar logins innecesarios, y limitar el acceso remoto.
      - Revisar si hay configuración peligrosa habilitada que permita ejecución OS desde SQL y restringirla a lo mínimo indispensable.
    - Revisar y eliminar persistencia:
      - Tareas programadas, servicios, entradas de inicio y binarios residuales.
    - Auditoría:
      - Revisar logs de SQL Server (intentos de login fallidos/exitosos), eventos de Windows y telemetría EDR para identificar ventana de compromiso y otros hosts afectados.
    - Si hubo exposición prolongada o reinfección recurrente, considerar reconstrucción del servidor desde una imagen confiable y backups verificados.

Notas opcionales:
- KingMiner se asocia frecuentemente a compromisos de MSSQL por contraseñas débiles/exposición directa y puede “competir” con otros actores eliminando mineros rivales o endureciendo el host comprometido para mantener el acceso.]]> Nombre:
KingMiner (también referido como “Kingminer botnet” en reportes; en algunos análisis se describe como una operación/campaña de cryptojacking más que una sola muestra)

Categoría:
Cryptominer (Monero/XMR) / Botnet

Fecha de descubrimiento:
2018 (reportado como “nuevo” en 2018 y documentado con actividad sostenida en años posteriores)

Comportamiento (lo que hace y archivos que infecta):
- KingMiner compromete principalmente servidores Windows con Microsoft SQL Server (MSSQL) y, en algunas campañas, infraestructura relacionada (p. ej., IIS en el mismo host).
- Vector de entrada típico:
  - Fuerza bruta / password spraying contra cuentas de MSSQL (por ejemplo, “sa” o cuentas con contraseñas débiles) en servidores expuestos a Internet o sin segmentación.
  - En entornos comprometidos, puede usar credenciales reutilizadas o filtradas para obtener acceso inicial.
- Acciones posteriores:
  - Ejecución remota de comandos a través de MSSQL (frecuentemente habilitando/abusando de capacidades administrativas) para lanzar:
    - PowerShell (a menudo ofuscado) para descargar y ejecutar payloads.
    - Herramientas “living-off-the-land” para descarga/ejecución (según variante): cmd.exe, certutil, bitsadmin, wscript/cscript, etc.
  - Descarga e instalación de un minero de Monero (comúnmente basado en XMRig o variantes empaquetadas) y componentes auxiliares (watchdog/loader).
  - Consumo elevado de CPU sostenido, degradando rendimiento del servidor y afectando servicios/productividad.
  - En campañas observadas, puede intentar eliminar otros mineros rivales y/o ajustar el entorno para mantener el control del host y la rentabilidad del minado.
  - Algunas versiones emplean técnicas para dificultar el bloqueo de infraestructura (por ejemplo, rotación dinámica de dominios/servidores de descarga en ciertos reportes).

Persistencia:
- Persistencia típica en Windows Server:
  - Tareas programadas para relanzar el minero o su “watchdog” al inicio o periódicamente.
  - Servicios Windows creados con nombres que intentan parecer legítimos para ejecución continua.
  - Entradas de inicio (Run/RunOnce) en el Registro en variantes menos sofisticadas.
- Objetivo de la persistencia: asegurar que el minero se reinicie si el proceso se detiene, y mantener control frente a limpieza parcial o reinicios.

Hash real de referencia (SHA-256):
Code:
88f55cbeea513fd37c97e5f152eb5f7c8cbe9e353406d39ef4b0d4120a3f175a

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan del servidor y cuarentenar/eliminar:
      - Binarios del minero, loaders/watchdogs y scripts descargados.
    - Recomendación práctica: realizar un segundo escaneo focalizado en rutas frecuentes de dropper y persistencia:
      - %TEMP%, %APPDATA%, %LOCALAPPDATA%, C:\ProgramData\, y directorios donde el EDR detecte ejecución reciente.
    - Si hay múltiples hosts MSSQL, escanear también servidores “adyacentes” (movimiento lateral operacional suele seguir contraseñas reutilizadas).

  • Firewall:
    - Bloquear exposición pública innecesaria de MSSQL:
      - Restringir el puerto de SQL Server (p. ej., 1433) a redes/hosts autorizados (VPN, subredes internas, jump hosts).
    - Aplicar egress control desde el servidor:
      - Bloquear conexiones salientes no justificadas (especialmente hacia destinos desconocidos), útil para cortar pools/C2/descargas.
    - Si se confirma compromiso, aislar temporalmente el host hasta erradicar persistencia y rotar credenciales.

  • HIPS/EDR:
    - Activar detecciones de comportamiento enfocadas a MSSQL/servidores:
      - CPU anómalo sostenido (picos prolongados) por procesos no esperados.
      - Cadena: sqlservr.exe (o proceso relacionado) → cmd.exe/powershell.exe → descarga/ejecución.
      - PowerShell ofuscado / EncodedCommand / IEX + descarga remota.
      - Creación de Scheduled Tasks o Servicios nuevos sin cambio aprobado.
      - Eliminación de procesos “competidores” o intentos de desactivar defensas/telemetría.
    - Respuesta recomendada:
      - Kill process del minero y de su watchdog.
      - Block by hash del binario detectado y de instaladores asociados.
      - Registrar evidencia (árbol de procesos + persistencia) para hunting y verificación de erradicación.

  • Sandbox:
    - Usar Sandbox para analizar de forma aislada:
      - Scripts/binaries encontrados en el servidor (PS1/BAT/EXE sospechosos) antes de ejecutarlos para “ver qué hacen”.
    - Señales clave:
      - Descarga de payloads, creación de tareas/servicios y conexiones salientes repetitivas.

  • Medidas posteriores al incidente:
    - Corregir causa raíz:
      - Cambiar credenciales de MSSQL (incluyendo “sa” si existe), forzar contraseñas robustas, deshabilitar logins innecesarios, y limitar el acceso remoto.
      - Revisar si hay configuración peligrosa habilitada que permita ejecución OS desde SQL y restringirla a lo mínimo indispensable.
    - Revisar y eliminar persistencia:
      - Tareas programadas, servicios, entradas de inicio y binarios residuales.
    - Auditoría:
      - Revisar logs de SQL Server (intentos de login fallidos/exitosos), eventos de Windows y telemetría EDR para identificar ventana de compromiso y otros hosts afectados.
    - Si hubo exposición prolongada o reinfección recurrente, considerar reconstrucción del servidor desde una imagen confiable y backups verificados.

Notas opcionales:
- KingMiner se asocia frecuentemente a compromisos de MSSQL por contraseñas débiles/exposición directa y puede “competir” con otros actores eliminando mineros rivales o endureciendo el host comprometido para mantener el acceso.]]> <![CDATA[LemonDuck – Cryptominer – 2019]]> https://forum.getoverx.com/showthread.php?tid=38 Sat, 29 Nov 2025 15:43:54 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=38 Nombre:
LemonDuck (también referenciado como “Lemon Duck” en algunos reportes; campaña tipo botnet con comportamiento tipo worm)

Categoría:
Cryptominer (Monero/XMR) / Botnet con propagación lateral

Fecha de descubrimiento:
c. 2019 (observado ampliamente en campañas 2019–2021, con actividad posterior en variantes)

Comportamiento (lo que hace y archivos que infecta):
- LemonDuck es una operación de cryptojacking que busca minar Monero (XMR) en sistemas Windows (y entornos mixtos en campañas), con una fuerte orientación a movimiento lateral y propagación dentro de redes.
- Cómo llega al equipo (vectores típicos):
- Explotación de SMB/RCE en redes con hosts vulnerables o mal segmentados (campañas han aprovechado servicios expuestos y entornos sin parches).
- Abuso de credenciales débiles (por ejemplo, contraseñas comunes) y uso de herramientas administrativas para propagarse.
- En algunas campañas, también se ha observado distribución por spam/phishing y/o ejecución inicial en servidores (dependiendo del entorno).
- Qué hace una vez ejecutado:
- Descarga y ejecuta componentes (scripts + binarios) para instalar el minero y mantenerlo activo.
- Implementa movimiento lateral usando técnicas de administración remota del propio Windows (por ejemplo: WMI, tareas programadas remotas, ejecución por servicios/SMB) para comprometer más equipos.
- Realiza acciones para evadir o dificultar la remoción:
- Terminación de procesos “competidores” (otros mineros) y, en algunos casos, intentos de degradar/alterar controles de seguridad.
- Ocultamiento de procesos mediante inyección, nombres similares a procesos legítimos, ejecución desde rutas temporales o uso de “watchdogs” (relanzadores).
- Impacto:
- CPU anormalmente alta (y en algunos casos, picos constantes), caída de desempeño en estaciones/servidores.
- Incremento de costos (si aplica a entornos cloud/VDI) y reducción de disponibilidad de servicios.

Persistencia:
- Persistencia típica observada en campañas de LemonDuck:
- Tareas programadas (locales y a veces remotas) para relanzar miner/loader al inicio o periódicamente.
- Servicios instalados con nombres que intentan pasar por legítimos, usados como “watchdog”.
- Claves Run/RunOnce en el Registro o accesos directos de inicio (según variante).
- Copias de componentes en rutas como %TEMP%, %APPDATA%, %ProgramData% o directorios de sistema con nombres engañosos.

Hash real de referencia (SHA-256):
Code:
6715f186e4dde484a897ce406f476192eb3cd0bc3bc3760bfe63ddead87c622e

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan en el host afectado y cuarentenar/eliminar:
    - Binarios del miner, loaders y “watchdogs” (relanzadores).
    - Scripts descargados (BAT/PS1/VBS) y artefactos en %TEMP%, %APPDATA%, %LOCALAPPDATA% y C:\ProgramData\.
    - Repetir un segundo escaneo tras limpiar persistencia para confirmar que no reaparecen componentes (señal de reinfección o persistencia activa).

  • Firewall:
    - Restringir propagación y superficie SMB:
    - Bloquear/segmentar SMB (445) entre segmentos que no lo requieran (especialmente entre estaciones de trabajo).
    - Permitir SMB solo donde sea estrictamente necesario (servidores de archivos, DCs, administración controlada).
    - Aplicar control de salida (egress):
    - Bloquear conexiones salientes no justificadas desde hosts comprometidos para cortar pools de minería y descargas de payloads.
    - Si hay múltiples equipos afectados, considerar aislar temporalmente el/los segmentos hasta erradicar la propagación.

  • HIPS/EDR:
    - Reglas de detección recomendadas:
    - CPU anómala sostenida por procesos no esperados, especialmente en servidores.
    - Cadena de ejecución sospechosa:
    - cmd.exe/powershell.exe iniciados desde procesos de servicio o desde rutas temporales.
    - Creación masiva de tareas programadas (locales o remotas) y servicios nuevos sin aprobación.
    - Indicadores de movimiento lateral:
    - WMI remoto, ejecución remota, creación de servicios remotos, uso inusual de credenciales administrativas en la red.
    - Señales de ocultamiento:
    - procesos que se reinician al matarlos (watchdog), binarios en rutas temporales con nombres legítimos, inyección.
    - Respuesta automática sugerida:
    - Kill process del miner y su watchdog.
    - Block by hash de binarios identificados.
    - Registro del árbol de procesos + eventos de red para hunting y contención.

  • Sandbox:
    - Usar Sandbox para analizar:
    - Scripts/archivos encontrados en el host (PS1/BAT/EXE) antes de ejecutarlos para “validar”.
    - Instaladores o adjuntos sospechosos si se sospecha entrada por spam/descarga.
    - Señales clave:
    - Descarga de binarios, creación de tareas/servicios, y actividad de red compatible con minería.

  • Medidas posteriores al incidente:
    - Corregir causa raíz y evitar reinfección:
    - Aplicar parches del sistema operativo y endurecer SMB (deshabilitar SMBv1 si aún existe, aplicar segmentación y mínimos privilegios).
    - Revisar credenciales: cambiar contraseñas administrativas, deshabilitar cuentas no usadas y activar políticas anti-fuerza bruta.
    - Revisar persistencia y artefactos:
    - Tareas programadas, servicios, Run/RunOnce, binarios en ProgramData/Temp.
    - Hunting lateral:
    - Buscar en otros hosts eventos similares (CPU alta, tareas/servicios nuevos, ejecución remota) para detectar propagación.

Notas opcionales:
- LemonDuck suele comportarse como campaña de cryptomining con capacidades de propagación (tipo worm) y técnicas de persistencia múltiples; en entornos empresariales el mayor riesgo es la expansión interna (lateral movement) y el consumo sostenido de recursos.]]> Nombre:
LemonDuck (también referenciado como “Lemon Duck” en algunos reportes; campaña tipo botnet con comportamiento tipo worm)

Categoría:
Cryptominer (Monero/XMR) / Botnet con propagación lateral

Fecha de descubrimiento:
c. 2019 (observado ampliamente en campañas 2019–2021, con actividad posterior en variantes)

Comportamiento (lo que hace y archivos que infecta):
- LemonDuck es una operación de cryptojacking que busca minar Monero (XMR) en sistemas Windows (y entornos mixtos en campañas), con una fuerte orientación a movimiento lateral y propagación dentro de redes.
- Cómo llega al equipo (vectores típicos):
- Explotación de SMB/RCE en redes con hosts vulnerables o mal segmentados (campañas han aprovechado servicios expuestos y entornos sin parches).
- Abuso de credenciales débiles (por ejemplo, contraseñas comunes) y uso de herramientas administrativas para propagarse.
- En algunas campañas, también se ha observado distribución por spam/phishing y/o ejecución inicial en servidores (dependiendo del entorno).
- Qué hace una vez ejecutado:
- Descarga y ejecuta componentes (scripts + binarios) para instalar el minero y mantenerlo activo.
- Implementa movimiento lateral usando técnicas de administración remota del propio Windows (por ejemplo: WMI, tareas programadas remotas, ejecución por servicios/SMB) para comprometer más equipos.
- Realiza acciones para evadir o dificultar la remoción:
- Terminación de procesos “competidores” (otros mineros) y, en algunos casos, intentos de degradar/alterar controles de seguridad.
- Ocultamiento de procesos mediante inyección, nombres similares a procesos legítimos, ejecución desde rutas temporales o uso de “watchdogs” (relanzadores).
- Impacto:
- CPU anormalmente alta (y en algunos casos, picos constantes), caída de desempeño en estaciones/servidores.
- Incremento de costos (si aplica a entornos cloud/VDI) y reducción de disponibilidad de servicios.

Persistencia:
- Persistencia típica observada en campañas de LemonDuck:
- Tareas programadas (locales y a veces remotas) para relanzar miner/loader al inicio o periódicamente.
- Servicios instalados con nombres que intentan pasar por legítimos, usados como “watchdog”.
- Claves Run/RunOnce en el Registro o accesos directos de inicio (según variante).
- Copias de componentes en rutas como %TEMP%, %APPDATA%, %ProgramData% o directorios de sistema con nombres engañosos.

Hash real de referencia (SHA-256):
Code:
6715f186e4dde484a897ce406f476192eb3cd0bc3bc3760bfe63ddead87c622e

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan en el host afectado y cuarentenar/eliminar:
    - Binarios del miner, loaders y “watchdogs” (relanzadores).
    - Scripts descargados (BAT/PS1/VBS) y artefactos en %TEMP%, %APPDATA%, %LOCALAPPDATA% y C:\ProgramData\.
    - Repetir un segundo escaneo tras limpiar persistencia para confirmar que no reaparecen componentes (señal de reinfección o persistencia activa).

  • Firewall:
    - Restringir propagación y superficie SMB:
    - Bloquear/segmentar SMB (445) entre segmentos que no lo requieran (especialmente entre estaciones de trabajo).
    - Permitir SMB solo donde sea estrictamente necesario (servidores de archivos, DCs, administración controlada).
    - Aplicar control de salida (egress):
    - Bloquear conexiones salientes no justificadas desde hosts comprometidos para cortar pools de minería y descargas de payloads.
    - Si hay múltiples equipos afectados, considerar aislar temporalmente el/los segmentos hasta erradicar la propagación.

  • HIPS/EDR:
    - Reglas de detección recomendadas:
    - CPU anómala sostenida por procesos no esperados, especialmente en servidores.
    - Cadena de ejecución sospechosa:
    - cmd.exe/powershell.exe iniciados desde procesos de servicio o desde rutas temporales.
    - Creación masiva de tareas programadas (locales o remotas) y servicios nuevos sin aprobación.
    - Indicadores de movimiento lateral:
    - WMI remoto, ejecución remota, creación de servicios remotos, uso inusual de credenciales administrativas en la red.
    - Señales de ocultamiento:
    - procesos que se reinician al matarlos (watchdog), binarios en rutas temporales con nombres legítimos, inyección.
    - Respuesta automática sugerida:
    - Kill process del miner y su watchdog.
    - Block by hash de binarios identificados.
    - Registro del árbol de procesos + eventos de red para hunting y contención.

  • Sandbox:
    - Usar Sandbox para analizar:
    - Scripts/archivos encontrados en el host (PS1/BAT/EXE) antes de ejecutarlos para “validar”.
    - Instaladores o adjuntos sospechosos si se sospecha entrada por spam/descarga.
    - Señales clave:
    - Descarga de binarios, creación de tareas/servicios, y actividad de red compatible con minería.

  • Medidas posteriores al incidente:
    - Corregir causa raíz y evitar reinfección:
    - Aplicar parches del sistema operativo y endurecer SMB (deshabilitar SMBv1 si aún existe, aplicar segmentación y mínimos privilegios).
    - Revisar credenciales: cambiar contraseñas administrativas, deshabilitar cuentas no usadas y activar políticas anti-fuerza bruta.
    - Revisar persistencia y artefactos:
    - Tareas programadas, servicios, Run/RunOnce, binarios en ProgramData/Temp.
    - Hunting lateral:
    - Buscar en otros hosts eventos similares (CPU alta, tareas/servicios nuevos, ejecución remota) para detectar propagación.

Notas opcionales:
- LemonDuck suele comportarse como campaña de cryptomining con capacidades de propagación (tipo worm) y técnicas de persistencia múltiples; en entornos empresariales el mayor riesgo es la expansión interna (lateral movement) y el consumo sostenido de recursos.]]>