Se ha observado una nueva variedad de ransomware dirigida a las plataformas mineras de Bitcoin.Al momento de escribir este artículo, la mayoría de las infecciones se han reportado en China, el país donde se encuentran la mayoría de las granjas mineras de criptomonedas del mundo.Llamada hAnt, esta nueva cepa de ransomware se vio por primera vez en agosto del año pasado, pero se informó que una nueva ola de infecciones afectó a las granjas mineras a principios de este mes.La mayoría de las plataformas de minería infectadas son dispositivos Antminer S9 y T9, que se utilizan para la minería de Bitcoin, pero también ha habido informes de hAnt que infectan las plataformas Antminer L3, que se utilizan para la minería de Litecoin.En raras ocasiones, el equipo Avalon Miner (utilizado para Bitcoin) también se informó como infectado, pero en cantidades mucho menores.No está claro cómo los delincuentes infectan por primera vez el centro de datos o el equipo de una granja minera, pero algunos expertos en seguridad chinos sugieren que hAnt viene oculto dentro de versiones contaminadas del firmware de la plataforma minera que ha estado circulando en línea desde el verano pasado.Según los informes de los medios chinos, una vez que hAnt infecta una plataforma de minería, bloquea inmediatamente el dispositivo y evita que extraiga cualquier moneda nueva.Cuando los propietarios de los equipos se conectan a los dispositivos de forma remota (a través de una CLI) o manualmente (usando pantallas LCD), lo primero que ven es una pantalla de inicio que muestra una hormiga y dos picos en caracteres ASCII verdes, similar a la pantalla de inicio de calavera roja que muestra NotPetya. Secuestro de datos.Al hacer clic en cualquier parte de la pantalla o presionar cualquier tecla, se carga la nota de rescate de hAnt, tanto en texto en inglés como en chino.La nota de rescate es algo única en comparación con las demandas de rescate que se ven en las variantes de ransomware de escritorio porque las víctimas pueden elegir.Pueden pagar un rescate de 10 Bitcoin ($ 36,000) para eliminar el ransomware de la plataforma de minería, o pueden descargar una actualización de firmware maliciosa que deben aplicar a otras plataformas de minería para propagar aún más el ransomware.Si las víctimas no pagan el rescate o infectan al menos otros 1000 dispositivos, la nota de rescate amenaza con apagar el ventilador de la plataforma minera y su protección contra sobrecalentamiento, lo que lleva a la destrucción del dispositivo.Todavía no ha habido informes de ningún equipo destruido, lo que sugiere que se trata de una amenaza vacía, sin embargo, los expertos dicen que, en teoría, hAnt podría abusar de una función de overclocking en el firmware de Antminer para sobrecalentar y comprometer los dispositivos.En cambio, ha habido informes de que hAnt también puede propagarse por sí solo, automáticamente, a otros equipos de minería conectados a la misma red; sin embargo, este mecanismo no se ha explicado con más detalles técnicos, hasta el momento.Sin embargo, un componente similar a un gusano hAnt explicaría un informe de Yibenchain, el sitio de noticias chino que publicó la historia por primera vez.El medio de comunicación citó a un ejecutivo de BTC.Top, una empresa minera local de Bitcoin, quien afirmó que hAnt infectó más de 4000 dispositivos en cuestión de minutos.Además de las pérdidas financieras causadas por hAnt después de que el ransomware detuviera las operaciones mineras normales, las víctimas también informaron pérdidas causadas por el tiempo necesario para actualizar la tarjeta SD del equipo de minería infectado para eliminar el ransomware e instalar un firmware limpio.El año pasado, Bitmain, la compañía detrás de la línea Antminer de equipos de minería, emitió una alerta de seguridad advirtiendo a los clientes que no instalaran el firmware descargado de otros sitios.La alerta también incluye consejos básicos sobre cómo asegurar todo tipo de plataformas mineras, no solo el equipo Antminer.La versión en inglés de la nota de rescate hAnt está disponible a continuación:¡Soy malo!Sigo atacando a tu Antminer.Siempre que propagues la máquina infectada, mi servidor verifica que haya 10 IP nuevas y que la cantidad de antminers llegue a 1,000.¡Dejaré de atacarte!De lo contrario, apagaré el ventilador de tu antminer y la protección contra sobrecalentamiento, lo que hará que quemes tu máquina o quemarás la casa.Haga clic en el botón 'Descargar parche de firmware' para descargar el parche de firmware con su ID específica.Simplemente actualícelo a su Antminer normal para infectarse.Puede llevar la máquina que actualizó el parche a otra sala de computadoras para completar la infección, o inducir a otros a usar el parche de firmware en el grupo de red.O soporte 10 BTC, dejaré de atacar.