Las botnets extractoras han vuelto

El equipo de analistas de Kaspersky Lab ha identificado dos botnets formadas por ordenadores infectados con malware que, de forma silenciosa, instala extractores de criptomonedas, un software legítimo utilizado para crear monedas virtuales mediante tecnología blockchain. En un primer momento, los analistas estimaron que una red formada por 4.000 equipos había permitido a sus creadores hacerse con más de 25.000 euros mensuales. Y gracias a una segunda red formada por 5.000 PC, los criminales han logrado más de 165.000 euros.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

La arquitectura de Bitcoin y de otras criptomonedas permite que además de comprar o vender, un usuario pueda crear nuevas unidades de una moneda gracias a un software especializado instalado en su PC. Al mismo tiempo, y según el concepto de criptomoneda, cuantas más monedas se han creado, más tiempo y más recursos de PC son necesarios para crear una nueva unidad.

Hace algunos años, el malware silente que servía para instalar extractores de Bitcoin (que utilizaba los ordenadores de las víctimas para que los cibercriminales se hicieran con la moneda), era algo frecuente en el panorama de ciberamenazas, pero cuantos más Bitcoin se extraían, más complicado era hacerse con nuevas unidades y, llegado a cierto punto el proceso era inútil puesto que el beneficio potencial que podía conseguirse de la extracción ya no compensaba la inversión que había que hacer de creación y distribución del malware y de puesta en marcha de la infraestructura de soporte necesaria.

Sin embargo, los precios actuales alcanzados por Bitcoins, la principal y más conocida criptomoneda, han dado lugar a que cientos de entusiastas y de startups hayan empezado a trabajar y lanzar sus propias alternativas, muchas de ellas con gran éxito en un tiempo relativamente corto.

Estos cambios en los mercados de las criptomonedas han atraído la atención y el interés de los cibercriminales, que están volviendo a utilizar tipos de fraude que aprovechan para instalar en miles de ordenadores un software de extracción de criptomonedas.

Según los resultados de un reciente estudio llevado a cabo por los analistas de Kaspersky Lab, los cibercriminales detrás de las botnets descubiertas distribuyen el software de extracción con ayuda de programas de adware que proceden a descargar un componente malicioso: el instalador del extractor. Este componente instala el software de extracción y, además, ejecuta algunas actividades para asegurar que la extracción trabaja todo el tiempo posible. Entre estas actividades se incluyen:

- Intento de deshabilitar el software de seguridad.

- Seguir todos los lanzamientos de la aplicación y suspender sus propias actividades si se encuentra con un programa que monitoriza las actividades del sistema o se inician los procesos de ejecución.

- Se asegura que una copia del programa de extracción permanezca en el disco duro, o se restaure si es borrado.

Tan pronto como la primera moneda se extrae, se transfiere a las carteras de los criminales, dejando a las víctimas con un ordenador que no rinde adecuadamente y unas facturas de luz ligeramente más altas de lo habitual. Si tenemos en cuenta las observaciones de Kaspersky Lab, nos encontramos que los cibercriminales tienden a extraer sobre todo dos criptomonedas Zcash y Monero, dos monedas que ofrecen una forma viable de anonimizar las transacciones y las carteras de los propietarios.