Más de 30.000 ordenadores fueron hackeados para minar Monero en Perú

De acuerdo a la firma de ciberseguridad ESET, este botnet, al que titularon “VictoryGate”, ha estado activo desde al menos mayo de 2019, aunque no había sido documentado con anterioridad. Recordemos que un botnet, también conocido como ‘ejército zombi’, es un tipo de malware donde el hacker toma control de numerosos dispositivos para controlarlos a distancia y, por lo general, poder llevar a cabo ataques DDoS (Distribuido de Denegación de Servicio) saltándose las protecciones. Si bien, últimamente la táctica ha resultado muy útil para la minería de Monero, pues se aprovecha el poder de miles de ordenadores para producir nuevas monedas que van directas a la wallet del hacker. Monero es más bien sencillo de minar y no requiere de hardware o software tan sofisticado como Bitcoin, así que resulta fácil instalarlo en los ordenadores de las víctimas sin que estas lo sepan. En esta ocasión, un 90% de los ordenadores infectados por VictoryGate logró rastrearse hasta Perú. Esto implica que unos 31.500 dispositivos peruanos estuvieron minando Monero para los hackers durante meses, hasta su fecha de descubrimiento y dadas de baja en su mayoría gracias a ESET. Resalta que, pese a configurarse para la cripto-minería, el botnet pudo haber cambiado sus funciones en cualquier momento y controlar de esa forma los dispositivos infectados con cualquier otro propósito. Algo en realidad preocupante, teniendo en cuenta que entre las víctimas se encuentan en “organizaciones tanto públicas como privadas, incluyendo empresas del sector financiero en Perú”, según relata la firma. Por los momentos, los hackers se han conformado con unos 80 XMR (alrededor de $6.000) y contando, obtenidos en su campaña más reciente de cripto-minería ilegal.

Distribución y síntomas

Al parecer, el malware llega a los ordenadores por medio de dos vías: la descarga de archivos desde sitios no oficiales y el uso de dispositivos USB infectados. La primera es bastante usual entre los malwares, que suelen venir en combo con algún otro archivo que cause el interés de la víctima (juegos, películas, canciones, etc.). La segunda vía es un poco más inusual, aunque también viable. El botnet infecta dispositivos móviles como pendrives, donde transforma todos los archivos en aplicaciones. Aunque a primera vista pueden parecer idénticos a los originales, la extensión de cada archivo (pdf, doc, mp3…) cambia para incluir al botnet. Una vez que el usuario desprevenido abre alguno de los archivos en su ordenador, el botnet se ejecuta en segundo plano e instala el software XMRig, adecuado para minar Monero. El XMRig tiene un uso legítimo entre otros mineros voluntarios, pero también se ha convertido en el favorito de los hackers para su instalación sin permiso en los ordenadores ajenos. Según la propia ESET, este 2020 un 73% de los cripto-mineros usados por hackers son variantes del XMRig, con fuerte presencia en Latinoamérica. De cara al usuario, los síntomas del malware incluyen recalentamiento y ralentizamiento del equipo, causados por un uso sostenido del CPU de hasta 99%. Este dato puede encontrarse en el Administrador de Tareas (Task Manager). Asimismo, en el caso de los dispositivos USB, puede perderse el acceso a los archivos originales. En el peor escenario, y especialmente válido para ordenadores con pocos recursos, el equipo incluso puede llegar a dañarse. Es importante entonces prestar atención a los síntomas, porque los pendrives infectados seguirán circulando, y todos los dispositivos infectados previo a la disrupción de ESET pueden continuar minando para los hackers. Por suerte, la medida a tomar en caso de síntomas es clara: es necesario limpiar el PC con un buen antivirus y mantener actualizado el sistema.