Cibercriminales infectaron más de 31 mil computadoras en Perú con código de criptomonedas

Desde mayo de 2019 más de 31 mil computadoras de usuarios peruanos se vieron afectadas debido a un Botnet que se encargaba de generar criptomonedas. Camilo Gutiérrez, jefe de laboratorio de ESET LA y Alan Warburton, analista de inteligencia de seguridad de ESET, explicaron cómo se llegó a detener este bot.

Según indicaron los representantes de ESET LA, se trataba de un código malicioso que utiliza los dispositivos USB para propagarse aprovechando las características de ocultar las aplicaciones y los archivos que tiene el usuario. Y al momento en que se trata de ejecutar se abre el archivo, pero también infecta el dispositivo del usuario, generando serios problemas.

“El cibercriminal toma control del dispositivo del usuario y lo que hace es ponerlo a procesar o minar criptomonedas, que no es más que resolver operaciones matemáticas para obtener posibilidades de ganancias económicas”, explicó Camilo Gutiérrez durante una conferencia de prensa online.

Es así, que dentro de los laboratorios de ESET, a finales del 2019, se descubrió que la amenaza a la que denominaron VictoryGate era una red de equipos infectados, que el cibercriminal controla, a través, de un servidor de mando y control.

“Se trata de una botnet previamente desconocida, la descubrimos nosotros mediante esta investigación y se propaga a través de medios de almacenamiento USB o pendrives. La amenaza estuvo activa desde mayo del año pasado y comenzamos a investigarla 5 meses después”, detalló Alan Warburton.

“Tenía un mecanismo de persistencia que lo que hacía era iniciarse en el momento en que se enciende la computadora, era automático. Una vez que el equipo está infectado cada vez que se reinicia se ejecutaba”, agregó

Respecto a la cantidad de dinero que pudieron haber logrado recaudar los actores detrás de los bots, el analista de ESET señaló que es complicado conocer el monto exacto, debido a que contaban con el uso de Monero.

“Una de las razones por las que Monero es tan atractivo es justamente por esa privacidad que le provee a los ciber delincuentes, es muy difícil hacer determinaciones precisas. Sin embargo, podemos estimar que obtuvieron una ganancia neta de 21 mil soles peruanos o 6 mil dólares americanos” dijo.

Según informa Alan Warburton, este monto podría estar debajo de la cifra real y fue calculado mediante datos como el tiempo en que la amenaza estuvo activa, la cantidad de equipos que se conectan en promedio durante el día. El dato que aún no obtienen es cuán poderosos eran los procesadores de los equipos insertados.

Prevención de ciberataques

“Debido a las características de la amenaza, hay soluciones de seguridad que llegan a detectar diferentes módulos. En el caso de ESET, poder conocer cómo funciona la amenaza, qué características tiene, entender su funcionamiento y más, nos da la posibilidad de garantizarle a los usuarios que se puedan proteger”, dijo Camilo Gutiérrez.

Para ello, sugirió el uso de ESET Online Scanner, una herramienta gratuita, en el que los usuarios pueden realizar un escaneo en sus dispositivos para verificar si se encuentra infectado.

En tanto, al país de origen de creación de bot malicioso, el representante de ESET Latinoamérica señaló que si bien es cierto que se pueden detectar características como la forma en la que se conectaba, la forma en que se hacía la máquina y el servidor, la forma en la que usaba sus servidores, los cuales eran muy particulares, es complicado saber dónde se originó.

“Por ello no se puede conocer desde donde se acceden. Entonces hay que conocer, o asegurar que fue creada en Perú es difícil de hacerlo pero sí tenemos todas estas evidencia que ponen a Perú en el ojo de toda la amenaza y como uno de los países afectados a nivel mundial”, señaló Camilo Gutiérrez

“La información que tenemos no es lo suficientemente sólida como para asegurar si fue creada en Perú, yo personalmente no lo creo, pero no podemos afirmarlo con seguridad”, agregó Alan Warburton.

Sin embargo, en cuanto a los servidores del atacante, el analista de inteligencia de seguridad de ESET, informó que los servidores estaban hosteados en distintos VPS’s,  mencionó que el principal probablemente haya estado en Malasia.

“Esto no significa que el atacante haya tenido que ver con Malasia porque estos equipos pueden usar Proxys, se puede contratar un servicio de forma internacional con cuentas y datos falsos. Entonces el hecho de que el servidor principal haya estado ahí tampoco dice demasiado”, explicó.

(Por Roberto Villena)