Investigadores de ESET descubren una operación que comprometía equipos en Perú. Una botnet que utilizaba equipos infectados para hacer minería de la criptomoneda Monero, comprometiendo equipos en ese país.
Antilavadodedinero / Cointelegraph.com
Investigadores de ESET descubren una operación que comprometía equipos en Perú. La actividad principal ha sido la utilización de equipos infectados para hacer minería de la criptomoneda Monero, comprometiendo equipos en Perú. Así lo informó el sitio We Live Security, el 23 de abril.
Según el artículo publicado en esa página, y que lleva la firma de Alan Warburton, investigadores de ESET descubrieron una botnet no documentada previamente, a la que han denominado VictoryGate. “La misma ha estado activa al menos desde mayo de 2019 y, desde entonces, se han identificado tres variantes de su módulo inicial y apróximadamente 10 payloads que son descargados por el equipo de la víctima desde sitios de file hosting en Internet. El módulo inicial es detectado por los productos de seguridad de ESET como MSIL/VictoryGate. A su vez, a través de la colaboración con distintas organizaciones, se ha logrado disminuir en gran medida el control que la misma tiene sobre los dispositivos afectados”, especificó el artículo.
Luego se detalló lo siguiente: “La botnet está compuesta principalmente por dispositivos ubicados en la región de LATAM, principalmente en Perú, país en donde están más del 90% de los dispositivos comprometidos”.
Warburton escribió también: “Hemos realizado actividades de sinkholing sobre varios subdominios hardcodeados en las muestras que la botnet utiliza como respaldo para su servidor de comando y control (C&C). La combinación de la información recopilada de nuestro sinkhole, sumada a nuestra telemetría, nos permitió estimar el tamaño de la botnet, la cual está conformada, como mínimo, por 35.000 dispositivos. VictoryGate utiliza subdominios registrados con el proveedor de servicios de DNS dinámico No-IP, empresa que rápidamente dio de baja los dominios una vez que los mismos fueron reportados por ESET, limitando efectivamente el control de los bots por parte del atacante. Adicionalmente, la información recolectada en el sinkhole es compartida con la organización sin fines de lucro Shadowserver Foundation para alertar a las autoridades locales y operadores de red”.
La actividad principal de la botnet ha sido la utilización de los equipos infectados para la minería de la criptomoneda Monero. “Sin embargo, dado que el operador tiene la capacidad de actualizar los payloads que la víctima ejecuta en cualquier momento que lo desee, esta funcionalidad podría haber cambiado en cualquier momento. Esto representaba un riesgo considerable, dado que se ha detectado tráfico de red comprometido que se origina desde organizaciones tanto públicas como privadas, incluyendo empresas del sector financiero en Perú”, explicaron.
Impacto en los equipos de las víctimas
Según explicaron en el sitio web de We Live Security esto puede haber afectado a las víctimas de diferentes maneras a considerar:
- Elevado uso de recursos de la PC de la víctima: En todas las muestras analizadas, el malware hace uso de todos los hilos disponibles del procesador para realizar criptominería. Esto se traduce en un uso sostenido del CPU del rango de 90-99%. Además, esto puede causar ralentizamiento del equipo, sobrecalentamiento o incluso dañarlo.
- Los archivos contenidos en dispositivos USB que se conectan a un equipo infectado son escondidos en una carpeta con atributos de sistema en la raíz de la unidad extraíble. Esto significa que algunos usuarios pueden perder acceso a sus archivos originales si no remueven dicho atributo de la carpeta escondida.