Los piratas informáticos atacan a los servidores para extraer criptomonedas

Ataques cibernéticos para minar criptomonedas mediante JDWP expuesto

Los piratas informáticos están explotando interfaces JDWP (Protocolo de Depuración de Java) expuestas para infiltrarse en sistemas y desplegar mineros de criptomonedas, según un informe de la firma de seguridad Wiz.

Puntos clave

• Los atacantes usan JDWP para ejecutar código malicioso y minar criptomonedas como Monero (XMR).
• Emplean una versión modificada de XMRig para evadir detección y ocultar sus billeteras.
• Más de 2,600 direcciones IP han escaneado puertos JDWP en 24 horas, con 1,500 clasificadas como maliciosas.

Cómo funciona el ataque

Los hackers escanean puertos JDWP (generalmente el 5005) en servidores expuestos. Una vez identificados, envían un script malicioso que:

1. Elimina otros mineros o procesos que consuman CPU.
2. Descarga e instala XMRig modificado desde servidores externos.
3. Establece persistencia mediante tareas cron para reiniciar el minero automáticamente.

Aplicaciones vulnerables

Servidores que ejecutan TeamCity, Apache Tomcat, Spring Boot, Elasticsearch o Jenkins en modo depuración son objetivos comunes, ya que JDWP no tiene control de acceso por defecto.

Origen de los ataques

La mayoría de las IPs maliciosas provienen de Hong Kong, Alemania, EE.UU., Singapur y China.

Este método destaca la creciente sofisticación de los ciberdelincuentes para monetizar ataques mediante criptominería ilegal.