¡Alerta máxima! Hackers asaltan servidores en busca de criptomonedas en 2025

Los ciberdelincuentes no descansan—y en 2025 han perfeccionado su caza de activos digitales. Servidores de todo el mundo están bajo fuego en una ola de ataques coordinados para extraer criptomonedas.

¿El objetivo? Liquidez inmediata. Los hackers aprovechan vulnerabilidades en sistemas legacy mientras las empresas corren para parchear agujeros de seguridad. Un recordatorio brutal: en la era de la Web3, la soberanía digital tiene un precio.

Mientras tanto, los grandes fondos de inversión siguen acumulando Bitcoin—porque claro, la descentralización es maravillosa… hasta que necesitas un rescate en fiat.

Los piratas informáticos arman JDWP expuesto para llevar a cabo actividades mineras

Los investigadores observaron la actividad contra sus servidores Honeypot que ejecutan TeamCity, una herramienta popular de integración continua y entrega continua (CI/CD). JDWP es un protocolo de comunicación utilizado en Java para la depuración. Con el protocolo, el depurador se puede usar para trabajar en diferentes procesos, una aplicación Java en la misma computadora o una computadora remota.

Sin embargo, debido al hecho de que JDWP carece de un mecanismo de control de acceso, exponerlo a Internet puede abrir nuevos vectores de ataque que los piratas informáticos pueden abusar como un punto de entrada para permitir el control total sobre el proceso de Java en ejecución. Para simplificarlo, la configuración errónea se puede usar para inyectar y ejecutar comandos arbitrarios para configurar la persistencia y finalmente ejecutar cargas útiles maliciosas.

"Si bien JDWP no está habilitado de forma predeterminada en la mayoría de las aplicaciones Java, se usa comúnmente en entornos de desarrollo y depuración", dijeron los investigadores. "Muchas aplicaciones populares AutomaticAlly inician un servidor JDWP cuando se ejecuta en modo de depuración, a menudo sin hacer que los riesgos sean obvios para el desarrollador. Si se asegura de manera incorrecta o expuesta, esto puede abrir la puerta a las vulnerabilidades de ejecución de código remoto (RCE)".

Algunas de las aplicaciones que pueden lanzar un servidor JDWP cuando están en modo de depuración incluyen TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins y otros. Los datos de Greynoise mostraron que se han escaneado más de 2.600 direcciones IP para puntos finales JDWP en las últimas 24 horas, de las cuales 1.500 direcciones IP son maliciosas y 1.100 se clasifican como sospechosos. El informe mencionó que la mayoría de estas direcciones IP se originaron en Hong Kong, Alemania, Estados Unidos, Singapur y China.

Los investigadores detallan cómo se llevan a cabo los ataques

En los ataques observados por los investigadores, los piratas informáticos aprovechan el hecho de que la máquina virtual Java (JVM) escucha las conexiones de depuradores en el puerto 5005 para iniciar escaneo para los puertos JDWP abiertos en Internet. Después de eso, se envía una solicitud JDWP-HandShake para confirmar si la interfaz está activa. Una vez que confirma que el servicio está expuesto e interactivo, los piratas informáticos se mueven para ejecutar un comando para buscar, llevando a cabo un script de shell de gotero que se espera que realice una serie de acciones.

These series of actions include killing all competing miners or any high-CPU processes on the system, dropping a modified version of XMRig miner for the appropriate system architecture from an external server (“awarmcorner[.]world”) into “~/.config/logrotate”), establishing persistence by setting cron jobs to ensure that payload is re-fetched and re-executed after every shell login, reboot, or scheduled time intervalo y eliminarse a sí mismo en la salida.

"Al ser de código abierto, XMRIG ofrece a los atacantes la conveniencia de una fácil personalización, lo que en este caso implicó eliminar toda la lógica de análisis de la línea de comandos y codificar la configuración", dijeron los investigadores. "Este ajuste no solo simplifica la implementación, sino que también permite que la carga útil imite el proceso de logrotato original de manera más convincente".

Esta divulgación se produce cuando NSFOCUS señaló que un nuevo y evolutivo malware basado en GO llamado HPingBot que ha estado dirigido a de Windows y Linux puede lanzar un ataque distribuido de negación de servicio (DDoS) usando HPing3.

Key Difference Wire ayuda a las marcas criptográficas a romper y dominar los titulares rápidamente