Una botnet infecta medio millón de servidores para minar Monero

  • Actualidad

El minero utiliza la infraestructura de administración de Windows para la extracción de criptomonedas. Los operadores ya han extraído aproximadamente 8.900 Monero, cuyo valor actual en el mercado ronda los 1,86 millones de dólares.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo utilizar la Dark Web

A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes. Prueba de ello es la aparición de Smominru, una botnet que emplea la vulnerabilidad EternalBlue como vector de ataque. Recordemos que dicha vulnerabilidad fue explotada ya por WannaCry, y tiene un parche de seguridad disponible desde marzo de 2017.

La botnet ha infectado alrededor de 526.000 sistemas Windows desde mayo de 2017, que los atacantes han utilizadi para minar 8.900 Monero, que corresponden a 1,86 millones de dólares. Monero es actualmente la moneda favorita para minar ilegalmente, gracias a que proporciona mayor anonimato a la hora de realizar transacciones.

Smominru se ha expandido por muchas zonas, pero la mayoría de los equipos infectados se encuentran en Rusia, India y Taiwán. Los expertos de Proofpoint notificaron al servicio de protección DDoS SharkTech que la infraestructura de comando y control de Smominru se encontraba alojada en sus servidores, sin embargo no obtuvieron respuesta.

Los intentos de reducir la botnet solo han tenido éxito a corto plazo hasta el momento. Los expertos de Proofpoint, abuse.ch y ShadowServer Foundation intentaron erradicar la botnet utilizando una técnica llamada "sinkholing", pero Smominru se recuperó rápidamente.

“Los operadores de esta botnet son persistentes, utilizan todos los exploits disponibles para expandir su botnet y han encontrado múltiples formas de recuperación después de las operaciones de sinkhole. Dadas las importantes ganancias disponibles para los operadores de botnets y la capacidad de recuperación de la botnet y su infraestructura, esperamos que estas actividades continúen, junto con sus posibles impactos en los nodos infectados. También esperamos que las botnets como la descrita aquí se vuelvan más comunes y continúen creciendo en tamaño”, aseguran desde Proofpoint.