Luego de varios meses, un grupo de investigadores de Eset desactivó una botnet utilizada para minar criptomonedas que afectó a más de 33,000 equipos en el Perú desde el 2019. Otros 2,000 dispositivos ressultaron perjudicados en Sri Lanka e Indonesia.
“VictoryGate” fue una campaña masiva de malware que tenía como objetivo
minar criptomonedas en los equipos infectados.
Camilo Gutierrez, jefe de Laboratorio de Eset Latinoamérica, precisó que, por las características encontradas en el código malicioso, se pudo determinar que su propagación se daba a través de dispositivos de almacenamiento extraíbles USB. Este factor explica, en gran medida, que se haya registrado el mayor número de equipos comprometidos dentro de un mismo país.
Una vez que el equipo era infectado, el
código malicioso lo incluía en la botnet utilizada por el atacante para la
minería de criptomonedas. Esta actividad hace un uso intensivo del procesador en el equipo de la víctima, en el caso de esta amenaza llegaba a comprometer hasta un 90% del mismo.
Una particularidad de “VictoryGate” es que incluía un componente que detenía el minado cuando se consultaba esta información. Además del perjuicio causado por la criptominería, los archivos de la unidad USB infectada quedaban completamente inaccesibles.
Teniendo en cuenta el número de direcciones IP que fueron alcanzadas por esta amenaza, la cantidad de conexiones por minuto al servidor malicioso y, la capacidad de cada equipo para minar criptomonedas se estima que el monto obtenido por el
autor del ciberataque fue de 6,000 dólares (20,000 soles aproximadamente).
Una vez finalizada la investigación, y habiendo seguido todos los protocolos requeridos para estos casos, Eset compartió la inteligencia obtenida con “Shadowserver” para alertar a las autoridades locales sobre esta situación.
“Es un orgullo para nosotros poder anunciar la baja de esta botnet que afectaba principalmente a usuarios de Perú. Desde el Laboratorio de Eset trabajamos día a día en detectar
posibles amenazas y acciones que afecten a los
usuarios de internet, por tal motivo, haber concluido esta investigación de este modo y con la colaboración de las instituciones que nos ayudaron a alcanzar este logro es una gran satisfacción y va alineado al espíritu de la compañía y nuestros objetivos de trabajo”, concluye.
Al tener el control sobre uno de los dominios utilizados en esta amenaza se pudo obtener más información sobre el ciberataque.