Desactivada gran parte de una botnet que minaba la criptodivisa Monero

 

Recomendados:  WEBINAR >> Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Registro  WEBINAR >> Autenticación y gestión de identidades, el nuevo perímetro de seguridad Registro

Esta botnet, aunque era desconocida hasta ahora, llevaba activa al menos desde mayo de 2019 y se dedicaba a minar la criptomoneda Monero, según Eset, la empresa que la ha descubierto.

Según el especialista en seguridad, el 90% de los dispositivos comprometidos por VictoryGate se encontraban en Perú y entre las víctimas hay empresas públicas y privadas, de las cuales varias son entidades financieras. Ahora, tras la información recopilada durante la investigación de su laboratorio que ha compartido con la Fundación Shadowserver, al menos una parte importante de las operaciones de la botnet han sido interrumpidas.

Sus investigadores han conseguido acceder a diferentes dominios que controlaban las actividades de la botnet, reemplazándolos con máquinas que no envían los comandos esperados a los sistemas infectados, sino que solamente monitorizan la actividad. Con estos datos y la telemetría de la firma, se estima que se habrían infectado, al menos, unos 35.000 dispositivos.

Al parecer, el único vector de infección de la botnet era a través de dispositivos extraíbles. La víctima recibe una unidad de almacenamiento USB que en algún momento se ha conectado a una máquina infectada. Aparentemente tiene todos los archivos originales e iconos que contenía antes de ser infectada, por lo que a primera vista el contenido es el esperado. Sin embargo, los archivos originales han sido reemplazados por una copia del malware.

Sin embargo, como explica uno de sus investigadores, Alan Warburton, “cuando el usuario intenta abrir uno de los archivos, lo que ocurre es que se abren tanto el archivo como la carga maliciosa”.

Una vez infectados los equipos de las víctimas, llega a usar entre un 90% y un 99% de los recursos disponibles, lo que provoca que los dispositivos se ralenticen y que haya sobrecalentamientos que pueden provocar daños a la máquina.

Según el experto, VictoryGate ha hecho importantes esfuerzos para no ser detectada, y teniendo en cuenta que los delincuentes detrás de ella pueden actualizar y modificar las funcionalidades de los códigos maliciosos que se descargan y ejecutan en los dispositivos infectados, esto supone un riesgo considerable.

Para aquellos usuarios que piensen que han podido ser infectados por este malware, que la compañía detecta como MSIL/VictoryGate, se puede usar ESET Online Scanner para limpiar el dispositivo de forma gratuita.